RAPPORT TECHNIQUE DE PROJET H. Explication détaillée de la solution

Transcription

1 Explication détaillée de la solution Contexte Ce document s accompagne d une proposition commerciale et en est le référentiel technique pour toutes précisions sur les choix contenus dans la réponse à l appel d offre. Grenon Brian - Canete Michael - Leal de Sousa Bruno - Datchy Julien GMSI

2

3 Table des matières 1. L objet du document Présentation du projet Présentation de H&H L entreprise Description de l entreprise sur le site d Aubagne Le cahier des charges Présentation d EYE-TECH Réponse à l appel d offre Etude d opportunité Quoi? Pourquoi? Etude de faisabilité Analyse Qui? Comment? Quand? Où? Etude détaillée Management Organisation du planning Analyse des solutions Choix de la solution Virtual Desktop Infrastructure L infrastructure Serveurs Convention de nommage Organisation des utilisateurs Les différents templates VDI Serveur de mail Serveur TSE Serveur Web & ERP

4 Postes clients Déploiement client légers Choix switch et routeurs Adressage Mises à jour Gestion de parc Lecteur de code-barres Stockage Récupération des données Imprimantes Sécurité Salles serveurs et baies de brassages Garanties Plan de reprise/continuité d activité Sauvegarde Travaux câblage Fournisseur d Accès Internet Inventaire Recyclage du matériel informatique Cahier de charges fonctionnel Maintenance Annexes Charte Informatique Durée des archives Charte Graphique Documentations et procédure Procédure Anti-virus Procédure utilisation de Seven Procédure de support téléphonique Procédure d utilisation d Hyper-V Procédure de connexion mail Procédure de gestion SCVMM

5 8.4.7 Procédure de déploiement image Les cahiers des charges pour prestations Anti-virus Imprimantes et gestion du dispositif d impression Installation des alarmes incendies Prestation de travaux de câblage externe liaisons fibrées Prestation entretient et pose Climisatisation Prestation de vérification de la conformité du câblage existant

6 1. L objet du document Ce document est un rapport technique qui accompagne la réponse de l entreprise EYE-TECH au client Hom at Home. Il n a pas de réel objectif commercial, mais permettra à ses lecteurs de voir en détails la ou les différentes justifications en termes de décisions. Que ce soit pour les travaux, le matériel, le dispositif d impression ou encore la gestion des déchets ; ce document permettra d avoir un regard global et approfondi à propos de la solution. En effet, la proposition commerciale reprend essentiellement les différents points émit par le cahier des charges, mais toutes les différentes solutions et études ne seront pas nécessairement présentées. 2. Présentation du projet Le projet H&H s inscrit dans le cadre de la formation Gestionnaire de Maintenance et de Support Informatique délivrée par le CESI de Grenoble. Il s agit d un projet de mise en situation, les étudiants simulent la création d une société de service en ingénierie informatique, et répondent à un appel d offre par une proposition commerciale. Différents besoins sont émis dans un appel d offre rédigé par le client : nous, étudiants, devons analyser les différents besoins de l entreprise, qu ils soient directs ou non. Nous avons souhaité fournir ce référentiel technique comme témoignage de notre sérieux dans la gestion de ce projet. En effet, les différentes solutions proposées ne se limitent pas à leurs expressions sur le papier, mais ont également été testées par le biais d une maquette, autant que possible. Un contact privilégié est fictivement présent dans l entreprise du client afin de jouer le rôle du Directeur Administratif et Financier. De plus, un technicien alternant en GMSI sera fictivement présent également et sera notre interlocuteur technique. 3. Présentation de H&H 3.1 L entreprise H&H est l entreprise cliente qui a publié l appel d offre de ce projet. Elle est une célèbre enseigne de cadeaux originaux et insolites à destination de la population masculine. Fondée en 1985, la société compte plus de deux millions de clients en Europe et emploie 350 personnes en France. Elle est présente dans quatre pays européen : la France, le Royaume-Uni, l Allemagne et l Espagne

7 Ses articles et produits sont vendus en boutiques, lesquelles sont installées dans les centres commerciaux des villes principales d Europe, mais également sur internet depuis 5 ans. La vente sur internet s effectue sur la base d un catalogue d objets originaux et idées cadeaux. On y trouve : des montres, des jeux et gadgets, de l électronique, des chaines hifi, du mobilier et des objets de plein-air, de l outillage, des vêtements, de l équipement et de la décoration pour maison, et tout cela en accord avec les tendances actuelles. Le siège social est situé à Nanterre, dans la banlieue Parisienne, et compte trois dépôts répartis comme suit : Reims pour le Nord et le Nord-Est Orléans pour le Centre, l Ouest et le Sud-Ouest Aubagne pour l Est et le Sud-Est La plateforme d Aubagne centralise les produits des points de ventes physiques des villes de Marseille, Toulon, Nice, Lyon, Grenoble, Montpellier et Annecy. Société : Hom@Home Siège social : 23, rue Marcel Duchamp, Nanterre Service client : (0.34 TTC/min) Fax : Numéro de SIRET : Description de l entreprise sur le site d Aubagne En termes humains : La société s organise sur trois pôles principaux, l administration, la comptabilité et le magasin. De plus, l ensemble est supervisé par le directeur qui et assisté d une secrétaire de direction. Le personnel et les différents métiers sont divisés en services afin de rendre les ressources plus aisément gérables, de pouvoir ajuster des plannings de collaboration, notamment : - 5 -

8 Matériels et système d information : Le client dispose actuellement de nombreux équipements qui sont tous plus ou moins anciens, et sont devenus incapables de traiter les différents programmes utilisés à l heure d aujourd hui. Ces différents matériaux sont de différentes natures, équipements poste de travail personnel, serveur, switch, clé wifi, sauvegarde sur bande, etc

9 - 7 -

10 Ce matériel ancien, sera renouvellé dans son intégralité. Cependant certains équipements joueront le rôle de spare pour le parc informatique. Ils seront (petite quantité) ainsi conservé dans vos stocks

11 Implantations : Le client dispose d un terrain privé sur lequel sont présents divers bâtiments. Des routes internes en béton permettent de circuler en véhicule au travers des différents bâtiments. Le site est composé de 4 parkings, 7 bâtiments au total, lesquels sont ensuites découpés en services comme suit : - 9 -

12 Problématique détaillée : 3.3 Le cahier des charges Suite à l étude succincte réalisée par notre technicien, nous avons identifié une série de problèmes auxquels la solution devra répondre : Aucune sécurité pour le web, Redondance des informations et de la saisie, Réseau peu fiable (coupure intermittente ), Sauvegarde et restauration peu suivies et ne couvrant pas l ensemble des données, Mauvaise communication entre les services, Double utilisation compte mail (interne, externe), Mauvaise sécurisation en terme d accès au fichier, Lenteurs sur les postes clients, Aucune tolérance de panne, aucun matériel de remplacement pour le parc client. Le cahier des charges qui nous a été transmis couvre une partie de notre secteur d intervention, certains autres secteurs sont plus indirects mais non moins indispensables. De plus, nous menons une politique solidaire de clients, afin que ceux-ci puissent avoir une visibilité globale de leur infrastructure. Par conséquent, quand nous parlerons de sécurité par exemple, cela prendra en compte la sécurité des données, la sécurité de l accès aux données, la sécurité des communications, la sécurité du matériel, mais également la sécurité des biens et personnes au travers notamment de vérifications du dispositif d alarme incendie. 4. Présentation d EYE-TECH Qui sommes-nous? EYE-TECH est une SARL au capital de Euros, créée en Février 2001 dont le Siège Social se situe dans le 1 er arrondissement de Paris. Nos investissements sont réalisés sur fonds propres, et nous faisons partie d un réseau de partenaires nommé IT-Partners

13 Evolution du Chiffres d'affaires en M ,3 0,9 1,5 3,1 3,9 4,8 6,2 7,1 8 8,9 9,5 10,2 10,7 11,6 Cette croissance révèle la satisfaction des clients face aux prestations que nous leur proposons, prestations qui sont directement adaptées aux besoins de chacun d entre eux. Il leur est donc proposé des solutions uniques qui ont l avantage d être exploitées au maximum. Fort de cette faculté, nous avons pu augmenter notre chiffre d affaire au fil des années.! EYE-TECH a engendré des bénéfices dès sa création en En 2004 l organisation était déjà stable, et l entreprise disposait des ressources nécessaires à son cycle d exploitation. Ainsi les années suivantes n ont été qu un prolongement de ce développement. Nos prévisions montrent que l année 2016 dégagera beaucoup de bénéfices. EYE-TECH a su convaincre par la qualité de ses services, en matière technologique comme en matière d accompagnement commercial et technique. Evolution des bénéfices (Résultat net après impôts) Bénéfice (M ) 2,1 2,7 3,5 1 1, Objectifs

14 Evolution des Effectifs et des Certifiactions Objectifs 2014 Certifications Effectifs L augmentation de l effectif n est pas qu une conséquence de l augmentation du chiffre d affaire, mais également une cause. C est grâce au travail généré par une organisation globale qu EYE-TECH a pu faire face à la demande croissante. La majeure partie de l effectif est constituée d ingénieurs et de techniciens qui, de par leur savoir-faire, garantissent des produits fiables et de haute qualité. Les autres employés (commerciaux, administratifs, etc.) fournissent également un travail efficace qui se traduit par la bonne santé financière de l entreprise

15 Notre équipe : Nos locaux : Nous sommes actuellement implantés dans trois villes de France. Notre siège est sur Paris, et nous disposons de deux antennes : une sur Lyon, et une autre sur Aubagne. Nous essayons continuellement de développer notre réseau et nous envisageons de nous installer dans deux nouveaux départements d ici Comme vous pouvez remarquer nous sommes installés à Aubagne. Ceci nous permet d être proche de vous et de pouvoir intervenir très rapidement en cas de besoin

16 Site d Aubagne : 7 Boulevard Jean Jaurès, Aubagne Site de Lyon : 2 Place Sathonay, Lyon Site de Paris : 4 Place du Louvre, Paris Nos clients : L expertise d EYE-TECH dans les projets de virtualisation, de consolidation PCA, PRA, et d évolution des systèmes d informations, permet d accompagner et de former les équipes informatiques de nos clients sur tous les environnements qui composent les projets d infrastructure informatique. Notre savoir-faire : Conseiller Certains projet apportent d importants changements techniques et organisationnels, c est pourquoi leurs préparations doit être des plus minutieuses. Cette étape permet de quantifier les apports financiers et techniques, de définir la meilleure façon de densifier les serveurs physiques de votre infrastructure IT et d en planifier le déploiement. L offre de services d EYE-TECH s organise autour de plusieurs prestations de conseil dont l objectif est d identifier et de quantifier la création de valeur apportée par le projet et de proposer les solutions techniques, financières et organisationnelles les mieux adaptées à vos besoins et contraintes. Notre offre de services en conseil se compose des prestations suivantes : Etude du TCO / ROI : Etude chiffrée du retour sur investissement d un projet Etude d opportunité : Etude de l opportunité technique et financière pour la mise en place d une nouvelle infrastructure dans votre système d information Etude d éligibilité : Etude technique détaillée permettant d optimiser l infrastructure cible et de déterminer précisément le sur investissement d un projet Critères de choix d une étude d éligibilité : Guide pratique permettant d accompagner le client et de l aider dans le choix de la solution la mieux adaptée à son projet Définition de l architecture cible : Définition de l architecture matérielle et logicielle cible, puis constitution d un ensemble de documents détaillant l ensemble des choix techniques

17 Formations : EYE-TECH propose des formations utilisateurs et des formations permettant le transfert de compétences pour votre équipe informatique. Réaliser : Une fois l éligibilité déterminée et l architecture technique cible définie, la deuxième étape consiste à réaliser la migration de l infrastructure future selon les préconisations techniques. Cette étape consiste à installer et configurer la nouvelle infrastructure, à intégrer cette dernière à l environnement IT existant. Un déploiement efficace impose une méthode robuste qu EYE-TECH a définie auprès de nombreux clients dans des environnements variés. L entreprise met ses ressources ainsi que l expérience acquise depuis dix ans à votre service, pour la réussite de votre projet. Accompagner : Une fois la nouvelle infrastructure mise en place, EYE-TECH propose une offre complète de services destinés à l accompagnement de ses clients dans la gestion de leur nouvelle infrastructure. L objectif de ces prestations est de s assurer du bon fonctionnement de l infrastructure créée, de sa conformité aux exigences techniques, financières et organisationnelles définies précédemment, ainsi que l anticipation de problèmes suivant l évolution de leurs besoins. Notre offre de services destinée à l accompagnement se compose des prestations suivantes : Audit d environnement : cette prestation permet de s assurer de la mise en conformité de l installation avec le niveau de service demandé Supervision de l infrastructure : cette prestation consiste à installer les outils de supervision spécifiques à la nouvelle infrastructure et permet au client de déterminer les paramètres à surveiller pour s assurer du bon fonctionnement de cette dernière Support : cette offre se compose d un ensemble de prestations conçues et adaptées pour répondre aux éventuelles questions et évolutions des infrastructures Missions d assistance technique : cette prestation consiste à mettre à disposition du client un expert chargé d administrer son infrastructure et de gérer sa mise en production Formations : EYE-TECH propose un ensemble de formations techniques et de workshops présentant l ensemble des outils de supervision et de gestion de la performance des infrastructures. Nos partenaires : Nous essayons toujours d établir des partenariats avec nos fournisseurs et nos clients. Nos partenaires représentent pour nous un gage de qualité de prestation. En effet, être partenaire de fournisseurs matériels nous permet de garantir une livraison en un temps record, et nous obtenons des prix imbattables par rapport à ceux du marché. Nous établissons également des partenariats avec nos clients : de cette façon nous développons des liens de confiance, et nous pouvons être plus proches de vous

18 Nos certifications : Nous considérons qu il est nécessaire de connaitre parfaitement les produits et solutions que nous proposons, avant de les soumettre à nos clients. La politique d EYE-TECH veut que nos employés soient régulièrement formés, et qu ils valident leurs compétences par des certifications. Ces certifications nous permettent d être garants des qualités de nos ingénieurs/techniciens

19 5. Réponse à l appel d offre 5.1 Etude d opportunité L étude d opportunité est ici pour répondre aux questions «quoi? Pourquoi?». Elle permet de dresser un tableau des différents problèmes, et d y apporter une réponse tout en proposant une étude adaptée au problème. Hom@Home nous a soumis un appel d offre, désirant que nous lui fassions une proposition de solutions technologiques pour l intégralité de leur infrastructure. Il s agit pour nous d analyser les divers documents fournis par H&H : avec ces informations nous pouvons dresser un profil complet des différentes problématiques rencontrées. Une fois les différentes problématiques identifiées, nous sommes en mesure de soumettre une étude de faisabilité, laquelle permettra d avoir un projet à étudier dans sa mise en place Quoi? L appel d offre du client concerne la plateforme d Aubagne, centre de distribution dirigé par Mr. Harpian, directeur Régional. Voici une liste non exhaustive de différents points remontés par la direction lors du premier rendez-vous : Multiples prestataires informatiques contactés. Différentes maintenances et solutions, parfois incompatibles entre-elles ont été misent en place ; Manque de croyance en la non-volatilité des prestataires ; Volonté absolue d être l unique interlocuteur pour la gestion de l infrastructure ; Pannes récurrentes ; Délais de remise en route importants ; Interruption régulière des liaisons entre les différents bâtiments du site ; Processus de sauvegarde non fiable (sauvegarde/restauration) ; Sauvegarde ne couvrant l intégralité du site. Le client a donc contacté notre entreprise dans le but de lui soumettre son appel d offre. Il a formulé les demandes suivantes : Optimiser les postes de travail. - Instauration d une continuité de service du serveur et du réseau - Intégration du service de préparation de commandes dans le réseau d entreprise

20 - Mise en place de toutes les garanties en termes de sécurité car les données manipulées sont de nature stratégiques et confidentielles. Nous devons également prendre en compte un dispositif de maintenance. - Assurer l assistance utilisateur nécessaire à l exportation des divers outils informatiques ; - Etre l interlocuteur unique chargé de suivre le plan de maintenance réseau système et applicatif ; - Fournir des garanties en termes de compétences, de disponibilités et de suivis sur l intégralité de l infrastructure couverte par le contrat de maintenance ; - Proposer des procédures claires et efficaces afin de faciliter les interventions, la maintenance préventive et curative ; - Recruter un salarié alternant en GMSI, Mr Venga, afin d assurer la liaison entre nos deux entreprises, et assurer de la même manière la maintenance de premier niveau. Après une analyse du matériel actuellement présent dans l entreprise, nous sommes capables de déterminer les situations qui engendrent les différents problèmes constatés :: - La communication entre les bâtiments est assurée par un réseau Wifi, bridgé avec des antennes directionnelles directement dirigées entre tous les bâtiments ; - Chaque bâtiment accède au réseau général par l intermédiaire d un poste équipé d une carte WiFi ; - Le routeur ne travaille que sur une ligne ADSL ; - Il y a un switch par bâtiment : o Compta : D Link 8 ports o Administration : D link 8 ports o Web : commutateur Nortel administrable niveau 2 o Magasin 1 : 3 com 24 ports o Magasin 2 : Allied Telesyn 24 ports - Deux services mails pour la communication interne/externe ; - Une forte hétérogénéité du parc notamment sur les systèmes d exploitation ; - Le matériel d exploitation est vieillissant et hors garantie ; - L audit révèle que les différents équipements semblent être en fin de vie. Voici donc nos conclusions : - Aucune sécurité pour le web ; - Redondance des informations et de la saisie ; - Réseau peu fiable (coupures) ; - Sauvegarde et restauration peu suivies et ne couvrant pas l ensemble des données ; - Mauvaise communication entre les services ; - Double utilisation de compte mail (interne, externe) ; - Mauvaise sécurisation en termes d accès aux fichiers ; - Lenteurs sur les postes clients ; - Aucune tolérance de panne, aucun matériel de remplacement pour le parc client

21 Après avoir reçu toutes ces informations de la part de H&H, et après avoir rencontré, lors de réunion mensuelles, Mr Harpian et Mr Venga, nous abordons la question de la sécurité. Mr Harpian nous a fait part de ses exigences, qui ne sont pas exprimées dans le cahier des charges : - Importance du rétablissement sous 2h en cas de défaillances matériels ; - Absolue nécessité de n avoir qu un seul prestataire, un seul interlocuteur ; - Le besoin de multiples procédures ; - Le besoin de former les utilisateurs (leur environnement de travail changera intégralement) ; - L importance d un dispositif d impression efficace ; - La volonté de l implémentation d alarme dans les bureaux ; - Le souhait d un plan de recyclage clair ; - Un sérieux absolu sur le traitement des sauvegardes Pourquoi? Ces informations nous permettent d identifier les secteurs responsables des différents problèmes que l entreprise rencontre. Outre cette identification, il est possible de dresser une liste des besoins indirects du client, comme l importance d une continuité optimale : en effet, l entreprise a contacté de nombreuses sociétés de service, qui ont apporté des solutions techniques et managériales bien trop hétérogènes. En reprenant les différents problèmes nous pouvons concrètement distinguer les points suivants : Les multiples prestataires doivent être remplacés par un interlocuteur unique o Prendre en compte et prévoir un contrat de maintenance couvrant l intégralité du parc Le nombre de pannes et d interruptions de service doivent être traité comme importance primordial o Proposer une solution haute disponibilité et un seuil maintenance minimum Un processus de sauvegarde qui doit couvrir l ensemble des données o Réplication des données en temps réelle et sauvegarde de certaines sur support externe Intégration du magasin non présent dans le réseau d entreprise o La solution devra couvrir l intégralité du parc, tous les différents services La sécurité d accès aux fichiers doit être efficace et contrôlée o Création d un annuaire de ressources afin d en octroyer des droits Le matériel est vieillissant et présente de forts risques de pannes o Au vu de l audit matériel, l intégralité du matériel doit être renouvelé Renforcement de la faible sécurité sur le serveur Web o Proposition d action quant à la sécurité du serveur Redondance et récupération des données o Proposer un plan d accès pour la récupération des données et l élimination des données disponibles plusieurs fois Unification des communications interservices o Unification du service mail Limiter les lenteurs sur les postes clients qui pénalisent le temps de travail des collaborateurs o Proposer une solution de gestion des droits, et gestion des ressources

22 Aucun matériel de spare de disponible o Prévoir une garantie pour la matériel efficace, et du matériel de spare o La continuité d activité est une des principales demandes du client En reprenant les éléments, qui ne figurent pas dans le cahier des charges, mais qui nous sont soumises par Mr. Harpian, nous avons déterminé qu une grande importance sera portée sur le délai d intervention en cas de panne. L entreprise a bien trop longtemps eu des interférences brouillant la qualité de leur travail. Des formations devront être proposées, et des procédures rédigées. De plus, la direction souhaite qu une solution d impression unifiée soit mise en place, ainsi que l implémentation d alarme dans les bureaux, et de traitement du dispositif d alarmes incendies. - Importance du rétablissement sous 2h en cas de défaillances matériels - Absolue nécessité de n avoir qu un seul prestataire, un seul interlocuteur - Le besoins de multiples procédures - Formation des utilisateurs (leur environnement de travail changera intégralement) - L importance d un dispositif d impression efficace - La volonté de l implémentation d alarme dans les bureaux - Le souhait d un plan de recyclage clair - Sérieux nécessaire à propos du traitement des sauvegardes Arbre d Ichikawa

23 5.2 Etude de faisabilité Analyse Lors de la première réunion avec le client H&H, nous avions estimé qu une infrastructure informatique virtuelle n était pas nécessaire : elle n est pas la solution parfaite pour une entreprise qui renouvelle son système d information. Cependant, dans l étude des besoins en termes d accessibilité, de sécurité, de maintenance et pérennité il nous parut évident de procéder à une étude des couts et besoins afin de savoir si une infrastructure virtuelle ne serait finalement pas la solution adaptée. Contrairement à notre première idée, cette technologie peut se révéler adaptée à une PME. Nombreux de nos clients disposent d une infrastructure virtuelle, ce qui permet plus de flexibilité et de sécurité des données. Afin de pouvoir répondre à cette question, nous avons analysé les différents services que les serveurs devront fournir pour répondre aux besoins. La demande principale du client porte essentiellement sur une continuité d activité réelle, et un système d information fiable. L étude d une infrastructure physique, avec ses avantages et inconvénients ont donc été soumis à la direction, qui nous a fait part de son engouement face aux technologies d hypervision. Certains services cruciaux pour respecter notre cahier des charges nécessitent d être isolés, et plusieurs serveurs physiques auraient été nécessaires. Nous avons donc fait part de ces différentes conclusions au vu des demandes de rétablissement notamment sous 12h dans le cadre de notre PRA. Au vu des tarifs du marché, des avantages et inconvénients, et des besoins bien spécifiques de l entreprise H&H, nous avons continué de réfléchir dans l idée qu une solution virtuelle n était pas une solution si invraisemblable que nous le pensions. Certains services sont très importants et font partie du cahier des charges qui détermine une reprise d activité rapide et efficace. Aussi, nous avons prévu des réplications des données, de telle sorte qu en cas de panne sur un serveur, l activité de H&H puisse continuer. Cette reprise d activité, dotée d une sécurité maximale pour l entreprise, est facilitée et accessible par l utilisation de technologie comme la supervision de machines virtuelles

24 Une simple sauvegarde ne permet pas de garantir à 100% une reprise d activité. En effet, les restaurations de sauvegardes peuvent parfois être corrompues, ou encore présenter divers problèmes, notamment aux niveaux des autorisations d accès. Une véritable réplication en temps réel permet de limiter les incohérences des données Qui? Nous distinguerons différents groupes d intervention au sein de ce projet. Il faut prendre en compte la valeur interne au client, la valeur de nos collaborateurs, ainsi que les prestataires qui interviendront dans ce projet. Le client a cependant insisté sur l importance de n avoir qu un interlocuteur. De ce fait, nous nous engageons à gérer l intégralité des prestataires, qui, en majorité, disposent déjà d un contrat avec notre entreprise. Nous distinguerons donc : Secteur Client H&H et Maitre d œuvre - Mr Harpian (Directeur Administratif et Financier) - Mr Vanga (Gestionnaire de maintenance et de support informatique) - Alain Duprès (Technicien du patrimoine) Secteur Maitre d œuvre & Ouvrage prestataire - Mr Datchy Directeur d Eye-Tech - Mr Grenon Responsable Technico-Commercial - Mr Leal De Sousa Pilote technique - Mr Canete Chef d équipe RED TEAM Secteur prestataire - Prestation BTP (tranchée) OU Mr Duprès selon prestataire - Prestation Electrique (câblage + recette) - Sécurité informatique (Audit de sécurité) - Service de traitement des déchets Ville d Aubagne Comment? Les différents secteurs d intervention se répartissent les rôles tel que : 1- Le client émet un appel d offre répertoriant les problèmes afin d envisager une résolution 2- Le répondant à l appel prend en charge le dossier et l analyse 3- Le répondant demande un ou plusieurs rendez-vous afin d orienter plus précisément l étude 4- Le client et le répondant se mettent en accord sur les différents axes 5- Le répondant analyse et rapporte une étude complète avec proposition de solution 6- Les deux parties se rencontrent pour la validation de l étude

25 7- Le répondant met alors en œuvre la phase pratique de l étude, et gère les correspondances entre les prestataires 8- Le demandeur demandera régulièrement un compte rendu d avancement des travaux 9- A tout moment le client peut demander une réunion d avancement 10- Une fois les travaux terminés, une capitalisation ainsi que des tests seront effectués. 11- La réception terminée, le client valide la conformité du projet, et le contrat de maintenance débute Nous distinguerons également ces différents points : - L entreprise dispose de matériel ancien pouvant être recyclé, et réutilisé - Un technicien collaborateur du client peut travailler sur les tranchées, ou encore le revêtement ignifuge de la salle serveur. Il sera apte à assurer les différentes maintenances des bâtiments de l entreprise - Nous disposons d un grand réseau de partenaires pouvant venir en aide si besoin Quand? Les travaux débuteront 15 jours après la validation de la proposition. A cette occasion, le client pourra s informer et nous questionner sur les différentes prestations proposées. De plus, la direction recevra une proposition commerciale, ainsi qu un rapport technique décrivant intégralement la proposition d évolution du système d information. La durée des travaux sera détaillée dans un planning prévisionnel fourni en annexe. Cependant EYE-TECH a estimé la durée théorique de la mise en œuvre du projet de façon intégrale à 4 mois à partir de n+15 à la signature du contrat. EYE-TECH s engage au respect de ces délais, sous condition de respect des rôles MOE, MOA, et pilotage par le client Où? Nous avons convenu avec le client que le projet s établirait sur l intégralité du site de Hom at Home. Ces critères concernent les ressources matérielles, humaines, de patrimoine et de collaboration. Cela défini entre autre : Secteur d application du patrimoine : - L ensemble des bâtiments - L ensemble des bureaux - L ensemble des lieux de stockage - L ensemble des lieux de production - L ensemble des lieux de réception - Ne concerne pas l ensemble accueil du public comme les parkings Secteur d application humain :

26 - L ensemble des salariés et collaborateurs indirects présents sur le site de H&H - L ensemble de la solution doit être adaptable aux besoins, si cela ne remet pas en cause le fonctionnement initial de solution Secteur d application matériel : - L ensemble des équipements disposant d un système d information étant la propriété du client concerné par le contrat de maintenance - L ensemble des dispositifs disposant d un EPROM étant également la propriété du client concerné par le contrat de maintenance Secteur d application des collaborateurs externes : - Être le point central de la communication entre les différents prestataires - Concerne l ensemble des intervenants extérieurs pour le compte du client et du fournisseur 5.3 Etude détaillée Management En répondant à l appel d offre émit par le client H&H, notre entreprise s est engagée dans une certaine cohérence et validité de ses propositions. Nous avons donc mobilisé en interne une part considérable de nos équipes à l étude de la solution, et avons préparé une de nos équipes, l équipe RED, qui se chargera des différentes configurations. A ce jour, nous avons mis à disposition du client : Notre Directeur Mr. Datchy, notre Technico-Commercial Mr. Grenon, notre Pilote Technique Mr. Leal De Sousa, et le responsable de l équipe RED Mr. Canete. La gestion de projet a donc d abord été initiée par le Directeur d EYE-TECH lui-même, avant que celui-ci ne demande au Technico-Commercial d en reprendre la gestion. Ainsi, l organisation du planning a dû être réalisée en fonction des différents évènements internes survenus. Mr Grenon a donc reprit la gestion de projet, accompagné par le pilote technique, qui se chargera de présenter le projet au responsable d équipe, Mr Canete

27 5.3.2 Organisation du planning La planification des différentes études a été faite par nos services. La direction de H&H a été consultée afin de savoir quels seraient les moments les plus opportuns pour la mise en place de la solution, ce qui s inscrit dans le cadre du planning prévisionnel. Nous ne parlerons que des différentes gestions du temps dans cette partie, et vous trouverez dans ce rapport une autre partie avec le planning prévisionnel complet. Dans un premier temps, nous avons procédé à l analyse complète du cahier des charges et posé énormément de questions pour bien cerner le besoin du client. Dans un second temps, nous avons divisé les informations relevées entre les personnes chargées de l étude du projet. Ces éléments ont donc permis des propositions adaptées à la situation du client, et ont été validés durant nos réunions internes, puis par Mr. Harpian et Mr. Vanga chaque mois. Les informations et confirmations de la direction en termes de jonction avec les collaborateurs et Mr. Vanga, qui nous a renseigné sur les aspects technique, nous ont permis de proposer une solution faite sur mesure pour le client H&H. La création des plannings a donné lieu à l information de nos collaborateurs chaque semaine (afin de faire un point bilan d avancement) ainsi qu une fois par mois un rendez-vous interne. Afin de puiser au maximum dans la capacité créative de l homme, nous faisons régulièrement des BrainStorming de debrieffing, ce qui permet d être certains de n avoir oublié aucune des exigences du client. La gestion du planning a été réalisée via l outil Microsoft Project, et se trouve capable d exporter les différentes tâches raccordées aux différents collaborateurs. Voici notre planning prévisionnel :

28 5.3.3 Analyse des solutions TSE Le Terminal Server Edition est une technologie qui permet également la déporte de bureaux. En effet, dans cette technologie, le bureau de travail de l utilisateur est localisé sur le serveur lui-même. Ceci présente

29 de nombreux avantages en termes de Gestion, de maintenance, et de sécurité. Il s agit d une technologie utilisée par de nombreuses entreprises. Cette solution est disponible sur la plupart des serveurs de Microsoft, et ne nécessite que l achat de licence Client Accès Licences, afin que l utilisateur puisse se connecter sur le serveur et avoir ainsi accès à son bureau. C est donc une solution peu couteuse qui a fait ses preuves. Cependant elle comporte également des inconvénients majeurs : pour une utilisation bureautique, elle se présente comme très utile, mais cette technologie fonctionne sur un serveur et propose des bureaux aux utilisateurs, eux aussi stockés sur ce dernier. La problématique intervient dans les bases système de ce serveur : si l utilisateur doit utiliser un logiciel spécifique pour travailler, mais que celui-ci ne s installe pas sur les Framework proposés par les serveurs, ce logiciel sera alors inutilisable. La sécurité est primordiale, et en TSE il est très facilement possible de configurer le serveur, qui est donc un objet unique, afin de donner des droits ou de les retirer. Cependant, le serveur TSE se retrouve impacté dès lors que de multiples utilisateurs sont connectés. Une erreur sur le serveur et c est l intégralité de l infrastructure qui se retrouve pénalisé. EYE-TECH a de nombreuse fois mis en place cette même solution chez ses clients. Les avis sont mitigés à propos des avantages du TSE face aux nouvelles technologies VDI Le Virtual Desktop Infrastructure est une technologie de Microsoft également, elle se base sur la technologie TSE, et en est une amélioration. Les différents problèmes de stabilité, de droit, ou encore de manque d espace individuel sont donc couvert par le VDI

30 Il s agit un rôle qui s appuie sur la technologie TSE mais également celle de la virtualisation via l hyperviseur Hyper-V. En effet le VDI permet de créer des machines virtuelles dites Template, qui permettront d être réutilisées ultérieurement, et de créer une machine virtuelle très légère pour chaque utilisateur : elle doit être considérée comme un bureau virtuel, du fait que les ressources qui lui sont attribuées sont automatiquement suspendues dès lors que celle-ci est non utilisée. Le VDI permet de déployer des environnements distants, comme Windows 7, qui n est ainsi pas un système serveur mais client, et permet donc l utilisation de très nombreux logiciels existants. Cette technologie permet de s affranchir des limites de stabilité imposées par le TSE et également de déployer un environnement de travail sain et individuel. C est actuellement l une des technologies les plus utilisées dans les entreprises, notamment dans les PME VMware Horizon La société VMware est une entreprise phare de ces dernières années. Ses produits de grande qualité sont très prisés car particulièrement stables et efficaces. Celle-ci propose une gamme large de produits permettant la réalisation d infrastructures virtualisées. La solution de VMware propose de nombreux produits qui pourraient permettre de remplir entre autre le cahier des charges émit par le client. Comme dans tout produit, il faut prendre en compte les points avantageux d une telle solution ainsi que ses points de faiblesse, et émettre un avis objectif par rapport aux exigences du client. VMware se démocratise auprès des PME plus que jamais, mais ses prix sont cependant à prendre en compte. En effet, l utilisation des produits de cette entreprise en Haute Disponibilité revient à acheter de multiples licences, qui peuvent être onéreuses

31 Cette solution est donc désormais accessible aux grandes entreprises et permet une très grande qualité de service. Actuellement en concurrence avec des solutions comme celles de Microsoft, qui sont plus abordables pour les moyens comptes, VMware reste un produit de premier choix Citrix Xen Desktop Citrix est une des entreprises pionnière dans les solutions de virtualisation, notamment sur les bureaux déportés. Fournisseur historique de solutions de virtualisation, Citrix permet une très grande souplesse, de la légèreté et de la performance. Ses divers produits permettent la virtualisation d infrastructures complètes, de serveurs, de bureaux déportés. Principalement destinée aux professionnels, sa gestion demande de multiples compétences propres à Citrix. De ce fait la possibilité de mise en place devient limitée, et pas seulement concernant l installation de l infrastructure, mais également sur sa maintenance. La liberté de sélection du prestataire par le client est

32 limitée, en raison de la nécessité des compétences relatives à la solution, que peu de sociétés de services disposent Choix de la solution Nous avons donc convenu, lors de l étude de faisabilité, qu une infrastructure virtuelle semblait être la solution la plus adaptée pour répondre au cahier des charge. Nous avons dressé une liste potentielle des solutions de virtualisation qui pourraient remplir les besoins de notre client. L analyse de ces différentes solutions a soulevé la question de l objectivité face aux différentes propositions technologiques. En effet, toutes peuvent permettre une infrastructure virtualisée qui prendrait en compte ces différents critères :

33 - Grande reprise d activité - Aisance pour la mise en place - Prix de la solution - Facilement administrable - Evolutivité - Support de l éditeur Ces différents éléments nous conduisent à penser que la solution de VMware serait l une des solutions les plus intéressantes : cependant son coût de mise en œuvre restera élevé comparé à d autres solutions, comme celle de Microsoft. Les solutions de Citrix soulèvent une question de compétences en terme de maintenance, sur le court comme le long terme. Son coût et son support ne sont pas des éléments problématiques, mais en comparaison avec une solution distribuée par Microsoft, Citrix ne semble pas être adaptée. Le TSE a donc été la solution retenue premièrement, lors des premiers entretiens avec la direction de H&H, qui semblait séduite par la mise en œuvre d une solution de bureaux centralisées. Cependant, le TSE est une solution qui tend à enfermer le client dans une utilisation basique et continuellement similaire. De plus, la sécurité du serveur peut parfois être mise à mal de par les nombreux bureaux utilisés, le nombre d applications utilisées, la stabilité de celles-ci mais aussi les différentes manipulations parfois non-maitrisées par les utilisateurs. Le TSE propose un très bon rapport qualité prix : Microsoft permet de le déployer directement en activant un rôle dans le serveur. Il ne faut donc plus que compter le prix de l achat des licences CAL (Client Accès License) afin que les utilisateurs puissent se connecter au serveur TSE de manière légale. L instabilité de cette solution est un risque qui pourrait être évité : depuis quelques années Microsoft a amélioré la solution du TSE, en faveur d une infrastructure de bureaux virtuels nommée VDI (Virtual Desktop Infrastructure.) Le Virtual Desktop infrastructure déploie des machines virtuelles dites «templates», qui seront ensuite utilisées pour déployer des modèles de bureaux déportés utilisés par les clients. Ceci permet d avoir accès à son bureau déporté depuis un système d exploitation différent, une machine distante, un smartphone ou tout autre périphérique de traitement d information qui permet l utilisation du protocole RDP. L adaptabilité et la disponibilité réduisent les risques de défaillance du serveur. Nous pouvons également déployer des applications virtuelles de façon à ce que, sans surcouche logiciel, un montage soit fait pour utiliser par exemple un ERP. Il faut cependant que celui-ci puisse être déployé et virtualisé. En cas de besoin spécifique : un service qui aurait besoin d un logiciel uniquement installable sur Windows 7. Le TSE ne prend pas en charge certaines applications. Il s agit d un serveur et non d un ordinateur grand public. Le VDI permettra de déployer très rapidement un nouveau modèle, et d y faire concentrer les différents bureaux déportés afin que le client dispose d un bureau adapté, stable et sécurisé

34 Notre choix s est donc orienté vers le Virtual Desktop Infrastructure. Les exigences du client et la comparaison des technologies permettant de remplir le cahier des charges du client semblent favoriser l utilisation de cette technologie Virtual Desktop Infrastructure La Virtual Desktop Infrastructure (VDI, traduit par infrastructure de bureau virtuel ou machine virtuelle) est un système applicatif permettant la dissociation de la machine utilisateur d'une part, et de la machine physique d'autre part. Le bureau virtuel créé englobe les capacités du matériel informatique et des logiciels du serveur informatique utilisé. L'objectif de cette technologie réside dans l'implémentation de la machine virtuelle dans un serveur distant du système, ce qui permet à l'utilisateur d'accéder à l'intégralité de ses programmes, applications, processus et données, et ce quelque soit le client matériel qu'il utilise. Ces dernières années ont clairement été placées sous le signe de la virtualisation. On entend la virtualisation «à toutes les sauces» avec par exemple l hyperviseur de Microsoft Hyper-V pour la virtualisation de serveurs, afin de consolider le matériel et opérer des économies sur le plan énergétique et matériel. On entend beaucoup parler de la virtualisation d applications avec Microsoft Application Virtualization (App-V), pour accélérer la gestion du cycle de vie des applications. Microsoft a aussi introduit la virtualisation de postes de travail avec le concours de Microsoft Enterprise Desktop Virtualization (MED-V) pour résoudre les problèmes de compatibilité applicative lors des migrations de systèmes d exploitation. Optimisé par Windows Server 2012, Microsoft Virtualization Desktop Infrastructure (VDI) permet de déployer des architectures de services Bureau à distance qui offrent aux employés la possibilité de travailler n'importe

35 où, tout en leur permettant d'accéder aisément à leur poste de travail Windows, ou environnement d'applications d'entreprise exécuté dans le centre de données à partir d'un large éventail d'appareils. VDI optimise l'utilisation du matériel en permettant d'accéder à plusieurs environnements Windows (développement- test, entreprise-personnel) à partir d'un même appareil client. Il permet également aux entreprises d'inscrire leurs employés à des «programmes Bring Your Own Device», dans lesquels ces derniers utilisent des équipements personnels pour leurs activités personnelles et professionnelles. De cette manière, le service informatique veille à la protection de l'environnement d'entreprise lorsque les utilisateurs y accèdent à partir d'appareils non gérés. Windows Thin PC est une autre technologie qui tire parti de la technologie VDI, en permettant aux clients de convertir les PC existants en clients légers en distribuant une version verrouillée plus compacte de Windows 7. Il s agit d une solution de bureaux déportés, qui offre l avantage d être mis à disposition au travers de templates préétablis. Cette évolution permet le stockage continu des données, mais également la vulgarisation d une gestion décentralisée. A l heure où les solutions de virtualisations se rependent, disponibles pour le grand public, la solution de bureaux déportés qu est le VDI est donc une aubaine. Sa gestion est la même que celles des systèmes installés en dur sur un PC. Une nouvelle fois il s agit, dans l étude d une solution critique, de pouvoir dresser un portrait complet et réaliste du besoin client en l état. La solution de Microsoft s inscrit dans la circulaire de multiples licences qu il nous faut cumuler entre elles. La gestion des licences système que nous avons sélectionné nous permet l utilisation de très nombreuses machines virtuelles. Ce sont des licences VDA (Virtual Desktop Accès). Microsoft Virtual Desktop Infrastructure Microsoft Virtual Desktop Infrastructure (VDI) s appuie sur deux autres technologies : La virtualisation de poste de travail avec «Hyper-V» La virtualisation de présentation avec «Remote Desktop Services» Les postes de travail sont virtualisés sur un serveur Hyper-V, et mis à disposition via une connexion de bureau distant (précédemment appelée TSE). Le broker Microsoft propose deux modes de fonctionnement : Le pool de machines virtuelles Un groupe de machines identiques est mis à disposition des utilisateurs. Chaque machine est strictement identique. RDS met les machines à disposition au fur et à mesure des demandes des utilisateurs

36 Le bureau virtuel personnel. Une machine virtuelle spécifique est dédiée à un utilisateur. L utilisateur peut personnaliser sa machine virtuelle. A chaque fois qu il se connecte, il retrouve sa configuration personnalisée comme s il utilisait un poste physique. Les coûts liés à la gestion des PC connaissent une ascension prodigieuse

37 Les enjeux de la virtualisation Amélioration des coûts de possession Abaissement des coûts liés au renouvellement matériel Adoption rapide de la fourniture virtuelle o Diminution des achats de nouveau matériel physique Réduction des coûts de fonctionnement Electricité Climatisation Surface au sol Temps/homme dédié à la mise à disposition et à la maintenance hardware Maîtrise du parc I.T. Consolidation et rationalisation des ressources o Les environnements deviennent efficients et leurs ressources surveillées et adaptées au besoin Centralisation du management o Une console unique pour piloter l ensemble des composantes d une infrastructure de virtualisation Standardisation des environnements

38 o Tous les environnements virtuels d une infrastructure unifiée ont les mêmes caractéristiques générales. Il devient aisé de les cloner, les transformer en modèles (Templates) et les dupliquer selon le besoin Amélioration des délais de provisionning o Les délais de mise à disposition d environnements virtuels sont réduits à une dizaine de minutes, même sur une architecture complexe Simplification de mise en œuvre de Plans de Continuité et de Reprise La standardisation des environnements virtuels en simplifie la sécurisation Amélioration de l expérience utilisateur Un environnement virtuel étant généralement hébergé sur une machine récente et puissante, la migration d un environnement physique a généralement pour effet une amélioration de l expérience utilisateur Les ressources d un environnement virtuel peuvent être augmentées ou diminuées en fonction du besoin Green I.T. Les machines récentes sont équipées de processeurs «basse consommation» L utilisation de serveurs de type lame permet de mutualiser les alimentations Les ressources matérielles sont utilisées de manière plus efficiente Machine Physique Difficulté pour la copie Adhérence matérielle Gestion difficile Machine Virtuelle Indépendant du matériel physique Gestion facilitée Facile à copier Facile à cloner / Restauration Facile à sauvegarder / Disponibilité Analyse volumétrique Une solution centralisée comme VDI demande un réseau assez efficace et performant. En terme de performances, nous savons par expérience qu un affichage déporté de type TSE/VDI consomme entre 20 ko/s et 100 ko/s. Pour connaitre les besoins en termes de capacité, nous estimons que nous aurons les 50 connections simultanément. 50 connections * 20 ko/s = 1 Mo/s 8 Mbps 50 connections * 100 ko/s = 5 Mo/s 40 Mbps Nous obtenons donc une bande passe maximale de 40 Mbps. Ce qui implique que notre réseau doit supporter au moins le 100 Méga. Ceci demande un réseau assez performant mais sans coût exorbitant

39 5.3.6 L infrastructure Au fil des diverses études, questions, ou réflexions que nous avons pu mener, s est posée la question de virtualisation. Nous en avons donc expliqué les différents bienfaits, enjeux et défauts.il est paru adéquat de pouvoir retenir les remarques intéressantes de la direction dans la sélection de la solution. Décision validée avec la direction de H&H, qui n est pas contre l utilisation d une technologie moderne pouvant répondre pleinement au cahier des charges. C est donc une infrastructure virtuelle, gérée par la solution de Microsoft, qui a été retenue en fonction de la structure du client. Cette solution permettra une meilleure flexibilité. Ses avantages et inconvénients sont détaillés dans la section Analyse des solutions. L infrastructure se décompose en segments tels que : la partie serveur (comprenant les serveurs et les machines du dispositif VDI), la partie réseau (Switch et Routeurs), la partie poste client (les clients légers dans notre cas) ou encore la partie réplication. La partie serveur : Notre infrastructure reposera sur la solution de virtualisation Hyper-V, cette solution sera directement installée sur les serveurs, en bare-metal : une installation en direct ne se superposant donc pas avec un autre système d exploitation, qui pourrait utiliser des ressources, et donc diminuer les performances. Les serveurs physiques ont été dimensionnés de façon à pouvoir accueillir les serveurs virtuels, les machines virtuelles templates du VDI, ainsi que les bureaux déportés. Une marge de manœuvre a ainsi été laissée volontairement en termes de puissance pour les changements non prévus du futur

40 Afin de pouvoir dimensionner en termes de RAM ou encore de processeur, les serveurs physiques, il s est posé la question des différents serveurs virtuels qui allaient venir s installer dans la machine. Par déduction, nous avons consulté les différents services dont l entreprise H&H a besoin pour son bon fonctionnement. H&H utilise une structure de service assez courante, et fort de nos conseils en tant que partenaire Microsoft, nous adresserons au client une proposition qui prendra en compte les best practices de Microsoft. Nous retrouvons donc des rôles qui peuvent être installés conjointement avec d autres rôles sur un seul et même serveur virtuel. Cependant, certains services et rôles ont besoins d être isolés, pour garantir leur bon fonctionnement sans interférences aucunes. De cette façon, nous sommes arrivés à l estimation du nombre de serveurs, et du nombre de services par serveur. De là nos équipes techniques ont estimés les besoins, et déduit des machines idéalement dimensionnées. Nous dispenserons donc 13 services différents qui permettent le bon fonctionnement de l infrastructure haute disponibilité dont nous a fait part la direction de H&H

41 Ici se situe la différence et l avantage d une solution virtualisée. Il est nécessaire d investir dans un seul serveur pour en émuler plusieurs. Cela présente des avantages en termes de cout, de gestion, de maintenance, de consommation, et favorise la reprise d activité, en répliquant l intégralité du serveur sur un second, afin de garantir un temps de rétablissement quasi immédiat en cas de gros sinistre. Par exemple prenons un incendie qui condamnerait notre premier server hôte, qui lui serait installé dans le bâtiment du service VPC ; en quelque secondes (de 1 à 3) le service pourrait reprendre dans le deuxième serveur qui lui aurait été installé dans le bâtiment de la compta. Ainsi, nous dénombrons à 8 le nombre de serveurs virtuels nécessaires pour isoler les services importants. Ainsi l achat, la maintenance, la gestion, la perte en valeur du produit coutera fortement plus cher sur court termes en sélectionnant une infrastructure physique, d autant que H&H ne dispose pas d un service informatique à part entière

42 Voici donc la liste des serveurs qui seront déployés :

43 L organisation et les caractéristiques des serveurs virtuels seront les suivantes : NOM Services IP Mask Gateway srv-adp AD 172,16,8,11 255,255,255,0 172,16,8,253 GPO DNS FSMO srv-prt-2k12 AD Secondaire 172,16,8,12 255,255,255,0 172,16,8,253 GPO Dns Secondaire Impression DHCP principal srv-aph-deb Apache 172,16,8,13 255,255,255,0 172,16,8,253 SQL PhpMyadmin srv-mail-deb Postfix 172,16,8,14 255,255,255,0 172,16,8,253 Extensions (DHCP urgence) srv-secu-2k12 Firewall 172,16,8,15 255,255,255,0 172,16,8,253 Anti-virus srv-vpn-2k12 VPN 172,16,8,16 255,255,255,0 172,16,8,253 srv-file1-2k12 Ficher 172,16,8,17 255,255,255,0 172,16,8,253 Sauvegarde DHCP secondaire srv-erp-2k12 ERP 172,16,8,18 255,255,255,0 172,16,8,

44 La partie poste clients : Actuellement, une des grosses trames du cahier des charges est le nombre de pannes s accumulant et rendant parfois impossible la continuité de travail des collaborateurs. La solution du VDI s affranchit de toutes ses pannes grâces à ses modèles de machine virtuelle, et sa possibilité de travail au niveau des fichiers. Cependant pour travailler sur ces bureaux déportés, nous avons opté pour la mise en place de clients légers. Ces mini-ordinateurs permettent de remplir des fonctions de bases, et vous soulage sur les pannes de ces derniers. En cas de problème avec l un des postes, MR Vanga n a plus qu à retirer le premier léger, et le remplacer. Tout sera donc transparent pour l utilisateur. Nous ne détaillerons pas plus l étude des clients légers, mais afin de bien comprendre l infrastructure, il faut représenter les clients légers comme des outils d accès aux ressources présentes sur le serveur de virtualisation. Ces clients légers seront automatiquement configurés via un déploiement d images spécifiques. La partie réseau, Switch, et routeur : Il ne s agira pas dans ce segment de rapport, de démontrer la sélection matérielle des équipements réseaux, ni du travail de câblage qu il y a en aval, mais de porter un regard critique sur la gestion de l infrastructure dans son réseau haute disponibilité, afin de garder une cohérence avec le cahier des charges. Il n est pas pensable de continuer à travailler sur des solutions comme le Wifi pour sécuriser divers bâtiments. Nous avons sélectionné des Switchs de qualité, afin de répondre à la demande de fiabilité. Il s agit de matériel bien connu, disposant donc d un support, permettant au client de garder le contrôle sur ce matériel de haute disponibilité. Ces switchs seront reliés par fibre optique entres eux dans un réseau interconnecté, de sorte qu en cas de rupture franche d une des liaisons le réseau reste disponible dans son ensemble

45 Le routeur sera lié au point d accès également par fibre optique. La partie réplication : L architecture totale de l entreprise sera donc dessinée d un premier châssis comportant un serveur Hyper-v comportant lui-même les serveurs virtuels, et bureaux déportés des collaborateurs, et sera relié en temps réel à un second serveur physique, totalement identique, qui partagera la même baie de stockage des machines virtuelles, situé dans un autre bâtiment

46 Dans notre cas la réplication se fera du bâtiment administratif au bâtiment de la gestion VPC et du bureau 3. La baie de stockage, elle sera stockée dans un troisième endroit, le bâtiment de la comptabilité. Un troisième serveur viendra compléter le processus de haute disponibilité, en sauvegardant les données présentes sur la baie, sur des disques RDX très résistants, qui seront ensuite sécurisés dans un Datacenter. Cette section concerne les sauvegardes et donc le PRA, une partie du rapport nommée sauvegarde détail plus en profondeur ce processus

47 5.3.7 Serveurs Concernant le système d exploitation serveur notre choix se positionne sur Debian 7.4 pour Linux et Windows Serveur 2012 R2 pour la partie Microsoft. Debian Il a comme réputation «Le linux le plus stable». C est un système très utilisé comme en Allemagne où la ville de Munich a choisi Debian en 2005 pour équiper les quelque ordinateurs de type PC qui formaient alors son parc informatique. La Gendarmerie Française vient également de passer sur un système basé sur Debian (GendBuntu) et compte disposer de postes sous ce système. Le noyau Debian est utilisé pour beaucoup de systèmes Linux. De ce fait il bénéficie d une grande communauté de développeurs et d une grande compatibilité avec des applications métier. Windows Serveur 2012 R2 Nous avons ici opté pour la version la plus récente fournie par Microsoft. Nous n avons ici aucun inconvéniant à utiliser cette dernière version qui est également très stable et qui comporte plusieurs avantages. De part la volonté de mettre en place du VDI ( Virtual Desktop Infrastructure) nous allons préferer cette version qui est optimisée pour ces pratiques. Nous acheterons la version Datacenter qui est la plus adaptée pour des infrastructures virtuelles. Améliorations du VDI Les services Windows Terminal Server ont fait bien du chemin depuis leur première apparition dans Windows NT Édition Terminal Server. Rebaptisés Services Bureau à distance, ils ne se contentent plus d'établir une connexion RDP avec le bureau d'un ordinateur distant, mais se sont largement enrichis. Microsoft proposait une solution VDI (Virtual Desktop Infrastructure) centralisée dans Windows Server 2008 R2, mais elle était encore un peu brouillonne. Des améliorations notables ont été apportées dans Windows Server Plus besoin d'une carte graphique dédiée sur le serveur pour utiliser RemoteFX, ce qui améliore considérablement la qualité graphique sur RDP. À la place, on utilise un processeur graphique virtualisé sur du matériel serveur standard. L'accès USB via RDP est bien meilleur, et la fonctionnalité de répartition de charge équilibrée peut gérer la façon dont le processeur, la mémoire, l'espace disque et la bande passante sont alloués entre les utilisateurs pour prévenir les problèmes de monopolisation de la bande passante. Améliorations Hyper-V L autre avantage majeur est l amélioration d Hyper-V (hyperviseur fourni par Microsoft). La gestion d un serveur Hyper-V 2012 R2 a beaucoup été améliorée et a reçu d autres améliorations techniques comme la réplication Hyper-V. Il s'agit d'un mécanisme de réplication qui sera une aubaine pour la reprise après sinistre dans les PME qui ne sont pas toujours en mesure de déployer des solutions de réplication coûteuses et complexes. Il journalise les changements apportés aux disques dans une machine virtuelle et utilise la compression pour économiser la bande passante, effectuant la réplication d'un serveur principal à un serveur de réplication. La possibilité de stocker de multiples instantanés (snapshots) d'une machine virtuelle sur le serveur de réplication, puis sélectionner celui que l on veut utiliser est offerte

48 Cela fonctionne aussi bien avec les clusters qu'avec les hôtes autonomes, dans n'importe quelle combinaison : autonome à autonome, cluster à cluster, autonome à cluster ou cluster à autonome. Gestion simplifiée des licences Quiconque a travaillé avec des licences serveur objectera que l'expression même de "gestion simplifiée des licences" est un oxymore. Néanmoins, Microsoft a écouté les clients qui sont désorientés et frustrés par la complexité lorsqu'ils doivent trouver l'édition appropriée et comprendre ce qu'elle va coûter réellement. Windows Server 2012 est proposé dans quatre éditions seulement : Datacenter, Standard, Essentials et Foundation. Chaque éditions a un champ d action, voici quelques indices : Foundation : Pour les petites entreprises jusqu à 15 utilisateurs, avec un serveur monoprocesseur. Essentials : Pour les petites entreprises jusqu à 25 utilisateurs, avec un serveur mono ou biprocesseur Standard : Pour les environnements faiblement virtualisés. Datacenter : Pour les environnements fortement virtualisés et infrastructures de type «private cloud» Convention de nommage Souhaitant respecter une des lignes du cahier des charges avec le client H&H, il nous parait opportun d ajuster la convention de nommage des équipements durant la refonte de l infrastructure. Il y a de nombreux éléments qui rentrent désormais en compte dans le plan de nommage que nous souhaitons mettre en place. La mise en place de serveurs virtuels ou encore de vlan, augmentera par défaut le nombre d équipements, virtuels ou non à connaitre autant par nom que par ip. De plus durant les travaux, il serait propice de mettre à jour les noms portés sur les prises terminales RJ45. De quelles informations avons-nous besoin d identifier dans le nom? Pour répondre à cette question, nous avons pensé aux actions et besoins de tous les jours, qui nous inciteraient à consulter le nom d un équipement. Bien que le VDI réduirait quasiment à zéro les besoins de déplacement sur un poste physique, cela semble opportun de pouvoir néanmoins identifier le poste physique, connecté à la machine virtuelle. Des raisons de sécurité peuvent être avancées. Mais la raison la plus saisissante étant le dépannage, le déploiement, l apport de modifications précises potentielles dans le futur, cela nous conduit à cette conclusion : la convention de nommage doit prendre en compte les clients légers et postes physiques aussi. Nous devrons donc : Différencier les ordinateurs portables des fixes

49 Permettre l'évolutivité en termes humains. Permettre de localiser l équipement ou la vm. Permettre de déterminer le système utilisé. Respecter la largeur de 15 caractères Division en trois secteurs de nommage : 1. DETERMINER LE TYPE DE MACHINE 2. DETERMINER LE SECTEUR DE TRAVAIL 3. DETERMINER LE SYSTÈME D'EXPLOITATION Wks = Worstation Lap = Laptop Srv = Serveur PRT = Printer COMPTA1 = ordi n 1 service comptabilité DAF1 = ordi n 1 Directeur des affaires financières INFO1 = ordi n 1 service informatique ARL1 = Ordi n 1 de l agent réception et livraison 7 = Windows Seven 8 = Windows Eight 2k8 = Windows Serveur = Windows Serveur r2 = Windows Serveur 2012 R2 Deb = Debian Pour faire la distinction entre un poste client un serveur, un switch ou une imprimante, nous utiliserons des définitifs, par exemple, pour un serveur «srv» ; pour une station de travail «workstation» pour une machine virtuelle (vm), une imprimante «prt» et un ordinateur portable «lap». La gestion des switchs et du routeur, peu nombreux et non amovibles théoriquement, sera ordonnée différemment, les switchs seront nommés «sw[n du switch]» par exemple : «sw1», nous disposons d une cartographie qui précisera le lieu du switch. Nous préciserons dans le nom, le service où l endroit permettant de localiser l équipement. Par exemple, «compta» pour les postes du service comptabilité. Enfin, nous préciserons le système d exploitation utilisé : 12r2 pour Windows server 2012 R2 ou encore Deb pour les serveurs linux sous Debian

50 Type Localisation Système d exploitation WKS SRV LAP PRT SW Compta Admin VPC N Switc 12r2 Deb Cette convention permettra l identification aisée dont nous avons besoin pour faciliter la gestion du parc H&H. Claire et simple, elle s adaptera aux futurs besoins Organisation des utilisateurs Le client nous a fait part des difficultés qu il rencontrait dans la gestion des droits d accès aux ressources partagées de l infrastructure. Une bonne organisation des groupes d appartenances et des utilisateurs ou encore périphériques est indispensables afin d appliquer des lois et des droits aux différents utilisateurs. Pour cela, nous avons donc choisi de reconstruire un nouvel Active Directory. Il s agit d un annuaire nommé LDAP : Cet annuaire permet le recensement des différentes ressources humaines et matérielles du parc, et de les subdiviser en unités d organisation. De plus, les ressources peuvent être administrées afin de créer des groupes d appartenance, et au fil des besoins d attribuer des droits à des groupes, et donc à tous les utilisateurs, sans avoir besoin de modifier l intégralité des droits par utilisateur

51 Le domaine L intégralité de cet annuaire LDAP peut s intégrer dans un domaine existant, permettant ainsi de créer des barrières virtuelles, afin de délimiter le domaine d exécution de l annuaire et des lois qui le régissent. Nous intégrerons donc nos différentes machines au domaine «hath.com» actuellement existant, notamment pour le site web de l entreprise. La jonction s effectuera par nos services, en contact avec le domaine national, notamment dans l intégration à la forêt existante. Par la suite, nous déploierons des lois qui régiront ainsi les différentes unités d organisation sur le domaine. Nous n approfondirons cependant pas dans ce rapport les détails de ces lois, car la direction ne nous a pas fait part de besoins spécifiques à ce sujet. Cependant, ces lois peuvent être misent en place aisément à l aide de la console de Stratégie de Groupes (aussi appelée GPO). Cela peut servir à faire apparaitre certaines imprimantes en fonction des groupes ou encore certains lecteurs réseaux, permettant le partage communs au sein d un service, ou un partage commun au sein de toute l entreprise. Nous pourrons ainsi déployer des GPO qui interdiront l accès au réseau, des utilisateurs qui ont des horaires fixes, comme le service administratif en dehors de leur plage horaire de travail. Les utilisateurs : Nous avons donc recrée de façon embryonnaire les différents utilisateurs dans un nouveau domaine. Ces utilisateurs sont contenus dans une unité d organisation qui leur est propre, permettant une flexibilité au niveau des droits applicables, notamment en cas d arrivée de nouveaux collaborateurs. Ci-dessous un exemple :

52 Il est donc avéré que les différentes unités d organisation sont d ores et déjà disponibles sur plateforme de test. Sa mise en production n est donc qu une question d importation, rapide

53 Nous constatons que les utilisateurs Gagnon, Gauthier, Bouchard, Rouda, Coté, Belzia, Roy et Tremblay font partie de l utilité d organisation /hath.com/utilisateurs/administratif. Une interdiction de connexion de la part des comptes utilisateurs sera mise en place. Dans un souci de sécurité, la direction nous a fait part de sa volonté de bloquer les comptes utilisateurs en dehors de leur limite de travail normal. Afin de disposer d un accès plus étendu, des groupes d utilisateurs disposants de droits moins restrictifs seront déployés. Pour faire partie de ce groupe une simple demande visée par le responsable du collaborateur sera demandée. Par ailleurs, Mr Vanga sera formé à mettre en place les différentes ressources dans ledit groupe de droits spéciaux. En l absence de Mr Vanga (en cours par exemple), l équipe Blue Team du support EYE-TECH sera à la disposition du client. Les Groupes Globaux de Sécurité : Les groupes globaux de sécurité sont des entités qui permettent de travailler sur diverses entités, comme des ordinateurs ou encore des utilisateurs en un seul et unique regroupement d informations. Par exemple, si je souhaite que tous les membres du service administratif puissent voir la nouvelle imprimante que nous avons achetée pour ce service spécifique, les groupes vont me permettre de leur attribuer uniquement l imprimante au groupe GGS_administrif. Tous les membres du service sont contenus dans ce groupe et cela s applique à toutes les entités internes au groupe

54 Les groupes locaux de sécurité : Les groupes locaux de sécurité, eux, ne sont utilisés que pour des raisons fortement spécifiques. Nous n en avons déployé qu un, à titre d exemple, car nous n avons à cette heure pas relevé de besoins spécifiques entrainant des créations de groupes locaux. Ces groupes concernent une situation spéciale qui ne peut être appliquée par l utilisation des groupes globaux : par exemple, si Clémence Gagnon du service administratif, et Sandrine Bellanger du service Expédition, ont besoin dans le futur d avoir un accès aux ressources partagées par la direction, nous créerons un groupe nommé GLS_Partage_Direction, où nous intégrerons ces deux personnes, en lui donnant les droits d accès au partage souhaité. Les serveurs : La logique est la même comme pour les biens que pour les personnes : nous pourrons donc créer des objets, entités pour les serveurs, avec des groupes d appartenance, globaux ou locaux

55 Les différents templates VDI Choix de l OS Notre choix se positionne sur Windows 7. Pourquoi Windows 7? Windows 7 est le système d exploitation référence dans le monde d entreprise, il est réputé par sa fiabilité et sa facilité d utilisation. Nous n avons pas choisi Windows 8 car c est un système d exploitation hybride, mêlant dans un seul produit à la fois une version de Windows «classique» et un environnement d exploitation tactile conçu pour des tablettes. Le moins que l on puisse dire c est que Windows 8 a connu sa part de critiques d utilisateurs désorientés, en partie à cause de la disparition du bouton «démarrer» et de la barre de lancement associée. Selon une étude du cabinet Forrester (1282 répondants en Europe et Amérique du Nord) «la majorité des entreprises n adopterait pas Windows 8 en tant que système d exploitation principal». Windows 7 choisi pour 76% des derniers postes renouvelés

56 Framework des templates VDI Depuis l arrivée de la première version de la plate-forme Microsoft.Net en 2002, et jusqu à la dernière version actuelle (4.0), près d une dizaine de versions se sont succédées ou côtoyées (si l on inclue les différentes déclinaisons du genre Compact Framework, Micro Framework et bien sûr les services Pack). Il est fréquent de trouver sur un même ordinateur plusieurs versions du Framework installées. Doit-on désinstaller les versions les plus anciennes et ne conserver que la plus récente? Pourquoi les versions antérieures ne sont-elles pas écrasées par les plus récentes, lors de l installation de ces dernières? Récapitulatif des différentes versions : Version Plate-forme Version du CLR Date V1.0 V Janvier 2002 V1.1 v Avril 2003 V1.1 SP1 v Aout 2003 V2.0 V Novembre

57 V3.0 = V2.0 + WF,WCF,WPF,CardSpace V Novembre 2006 V2.0 SP1 et V3.0 SP1 V Novembre 2007 V3.5 +Linq V Février 2008 V3.5 SP1 V Août 2008 V4.0 V Avril 2010 Compatibilité ascendante et descendante : Aujourd hui de nombreux logiciels utilisent le Framework.Net. Toutefois tous n ont pas été développés avec la même version de l environnement Microsoft. Si l on peut évidemment s attendre à ce que la compatibilité ascendante ne soit pas assurée (ce qui a été développé avec la version 2 ne fonctionne pas avec la version 1), on peut en revanche être étonné de constater que même la compatibilité descendante peut poser problème (ce qui a été développé pour la version 1 ne fonctionnera plus avec la version 2). En résumé, le Framework 3.5 ne prend pas nécessairement en charge les applications développées en environnement 2.0. Il est alors nécessaire d avoir sur sa machine plusieurs versions du Framework installées simultanément pour faire tourner vos applications. Nous installerons donc toutes les versions du Framework depuis 2002, afin d éviter tout problème de compatibilité avec certaines applications métier un peu anciennes Logiciels préinstallés VDI Dans le master de Windows 7 nous avons décidé d installer plusieurs logiciels très utiles et nécessaires à la bonne utilisation de Windows. En voici quelques détails : NOM DE L OUTIL SUITE OFFICE PROFESSIONNEL 2013 VLC DESCRIPTION Microsoft Office 2013 est la dernière version de Microsoft Office, suite de bureautique conçue pour Windows. Elle propose des nouveautés comme une ergonomie simplifiée avec la prise en charge optimisée des interfaces tactiles, et une plus grande compatibilité avec tout type de document, dont Portable Document Format (PDF) qui peut désormais s'ouvrir et être modifié directement dans Word VLC est un lecteur multimédia gratuit et libre, et un système capable de lire la plupart des fichiers

58 multimédias, ainsi que des DVD, des CD Audio, des VCD, et divers protocoles de streaming. ADOBE READER Adobe Reader est l outil qui vous permet d ouvrir et d utiliser les fichiers Adobe PDF. Bien que vous ne puissiez pas créer de fichiers PDF dans Reader, vous pouvez utiliser Reader pour afficher, imprimer et gérer des fichiers PDF. Après avoir ouvert un document PDF dans Reader, vous disposez d une panoplie d outils permettant de retrouver facilement les informations qui vous intéressent. Si vous recevez un formulaire PDF, vous pouvez le remplir en ligne et l envoyer par voie électronique. Si vous recevez une invitation à réviser un document PDF, utilisez les outils de commentaire et d annotation pour ajouter des commentaires au fichier. Utilisez les outils multimédia de Reader pour lire des fichiers vidéo et de musique dans un document PDF. Et si un fichier PDF contient des informations sensibles, vous pouvez le signer ou le certifier avec une identification numérique. FLASH PLAYER Adobe Flash Player est une référence en matière de diffusion de contenus web évolués et percutants. Dessins, animations, et interfaces utilisateurs d'applications sont déployées sans délai, sur l'ensemble des navigateurs et plates-formes, séduisant les utilisateurs au travers d'enrichissantes interactions via le web. Ceci vous permettra de visualiser certaines animations sur le Web. JAVA Java est une technologie utilisée dans le développement d'applications pour rendre le Web à la fois plus divertissant et utile. Java et JavaScript sont bien distincts. JavaScript est une technologique simple permettant de créer des pages Web et exécuter uniquement dans votre navigateur. Java vous permet de jouer, de télécharger des photos, de discuter en ligne, d'effectuer des visites virtuelles et d'utiliser des services tels que la formation en ligne, la banque en ligne, et les cartes interactives. Sans Java, de nombreux sites Web et applications ne fonctionneraient pas. CHROME BUSINESS Chrome est un navigateur web développé par Google basé sur le projet libre Chromium. Un des avantages régulièrement reconnu à Chrome est sa rapidité en ce qui concerne la vitesse de navigation, une vitesse qui ne semble pas entachée, même si

59 PAINT.NET 7-ZIP vous surfez sur de nombreux onglets à la fois. D'ailleurs, Google Chrome gère chacun de ses onglets indépendamment les uns des autres. Cela peut être très utile, car si un onglet rencontre un problème, ce n'est pas l'ensemble de votre navigation qui est remise en cause. Il s agit là d une alternative à Internet Explorer que nous estimons dépassés. Paint.NET est un outil de retouche photo particulièrement simple à prendre en main. De nombreuses fonctionnalités sont proposées faisant du produit un logiciel incontournable pour les photographes amateurs. L'application supporte les calques, l'annulation illimitée, ainsi que des filtres - flou, netteté, anti-yeux rouges. Paint.NET comporte également les outils les plus courants dans ce genre d'application : sélection, tampon, titrage, ou encore gomme. Il s agit également d une alternative à Paint, par défaut dans Windows, qui est assez limité. 7-Zip permet de compresser vos dossiers et vos fichiers afin qu'ils utilisent moins d'espace sur votre disque dur. Le programme est capable de créer des archives aux formats 7z, TAR, Gzip, Bzip2 et ZIP. Il peut ouvrir de nombreux formats tels que 7z, ZIP, CAB, RAR, ARJ, Gzip, Bzip2, TAR, Cpio, RPM et DEB. Pour distribuer vos fichiers vous pouvez créer des archives auto-extractibles, à partir de vos archives 7z. La manipulation des archives est également facilitée par l'intégration des commandes courantes au menu contextuel de l'explorateur Windows. Afin d économiser sur le prix des licences, nous n allons pas mettre à disposition la même version d office pour tout le monde : - 1 version Home Business pour les employés nécessitant les outils de base (Microsoft Word, Microsoft Excel, Microsoft Outlook, Microsoft Powerpoint, Microsoft OneNote) 182 HT - 1 version Professionnel pour les employés nécessitant les outils de base (Microsoft Word, Microsoft Access, Microsoft Excel, Microsoft Outlook, Microsoft Powerpoint, Microsoft Publisher, Microsoft OneNote) 360 HT. Nous avons estimé une nécessité de 10 licences professionnelles et 39 licences home business

60 Serveur de mail Plusieurs problèmes concernant les outils de communication ont été mis en avant par le cahier des charges de la société H&H. De nombreux disfonctionnements ont été descellés, dont le fait d utiliser deux outils bien distincts et non compatibles pour accéder à vos mails. Afin de respecter notre logique d unité et de centralisation, nous ne pouvons proposer la mise en place d une solution similaire. Nous avons élaboré les divers points qui pourraient faire correspondre les attentes et les propositions avec Mr. Harpian et Mr. Vanga, durant nos réunions mensuelles. Nous avons conclu qu il n est pas nécessaire d utiliser des outils payants si d autres solutions remplissaient les mêmes rôles, comme celles des logiciels Open Source (libre) ; au vu des solutions actuelles et des solutions utilisées par les différents collaborateurs de H&H, nous savons que l utilisation de ces produits nécessite un tel niveau d apprentissage, que nous pouvons comparer ces solutions payantes à celle open-source : par exemple Microsoft Exchange(Windows) à Postfix(Linux). Ces deux solutions sont les plus connues et les plus aguerries de leur deux mondes : le libre, et le non libre. Afin d avoir un regard critique sur un large éventail de solutions libres et non libres, nous avons comparé de multiples solutions entres elles, en vérifiant leur degrés de fiabilité auprès de professionnels les ayants déjà exploités sur le long terme ; ou encore en analysant les différentes formules de support proposé, qu il soit d une communauté du libre, ou d une équipe technique travaillant pour une société commercialisant ses produits. Il n est pas simple d établir un véritable comparatif : de nombreuses solutions existes et peu d entre elles sont souvent misent en application. Nous avons alors décidé d analyser et comparer six solutions différentes, afin de rester objectif et de trouver la solution la plus adaptée

61 La solution doit : Permettre une connexion en interne Permettre une connexion en externe Permettre de gérer de façon collaborative les messageries Permettre d accéder à un calendrier, qui doit lui-même pouvoir se partager Assurer une maintenance aisée Rendre le système le plus stable possible D une autre part : La solution peut être libre/propriétaire Des licences Outlook seront déjà présentes, du fait de l achat de Suite Office Des ordinateurs privés pourront accéder au serveur La question de redirection MX ne se posera pas, car nous ne mettrons en place qu un seul serveur de messagerie La question du prix et de la consommation en ressources énergétique (demande de puissance) doit être au cœur de la sélection

62 Nous avons choisi de multiples solutions, ayant toutes déjà fait leurs preuves, et étant largement utilisées dans le monde. Exchange et Postfix présentent de nombreuses qualités, ils sont utilisés par de nombreuses personnes, et les entreprises, comme nos anciens clients s orientent régulièrement vers une de ces deux solutions. Il est vrai qu elles portent de nombreux avantages. Postfix se gère très aisément grâce à ses fichiers de configuration, il est gratuit et rempli l intégralité des demandes de H&H grâce à ses différents modules intégrables. Il s accède en webmail, est léger, très sécurisé grâce au protocole SSL et aux chifrage AES. Il est compatible Outlook, Thunderbird, Evolution pour son client de messagerie, de plus nous sommes compétents sur cette solution, qui permet notamment l utilisation sur de multiples systèmes d exploitation. Exchange lui, fourni également de nombreux services. Il permet d aller dans de multiples cas plus loin que Postfix. Notamment dans la lecture des logs ou encore le suivi de messages. Sa facilité d utilisation est cependant à remettre en cause, du fait de ses très nombreux menus de configuration, il devient rapidement complexe à utiliser pour un novice, bien qu une large communauté se prète au jeu. Nous n opterons pas pour cette solution, qui en plus de couter particulièrement cher ne propose pas de réels avantages en comparaison d une solution comme Postfix. Ce logiciel de Groupware consomme énormément de ressources, et présente de nombreuses fonctionnalités, que Microsoft (l éditeur) corrige progressivement. Exim est également une solution Open-Source, qui présente le très gros inconvéniant de n avoir qu une faible communauté de support, le logiciel souffre de faible quantité de mise à jour ; ce qui nous incite à ne pas choisir pour notre client cette solution. Exim est cependant basé sur le noyau d un autre logiciel Open-Source nommé Sendmail. Sendmail, est comme dit précedemment une solution pour Serveur Mail particulièrement stable et manageable. Il est également particulièrement flexible dans la gestion des formats de courriers et des protocoles de communication utilisés. Cependant il souffre de multiples stigmates tel que sa complexité d utilisation, sa lenteur et sa maintenance particulièrement difficile. Aussi, nous considérons que cela fait de nombreux points défavorables, qui ne nous incitent pas à opter pour cette solution

63 Durant de longues heures de comparaison, nous avons pensé que Qmail était peut être la solution adéquat. Particulièrement sécurisé grâce à la prise en charge d ACL, flexible via ses nombreux formats supportés, et facilement modulable grâce à ses plugins intégrables. Sa gestion en web console permet des configurations rapides, mais les différentes appartés politiques et administratives ont de loin rebuté de nombreux utilisateurs. Aussi sa communauté, assez faible, et notre peu d expérience sur ce logiciel, nous ont ammené à ne pas choisir non plus cette solution. Pour finir ces six comparaisons, nous avons porté notre dernière analyse sur un logiciel bien connu du monde professionnel, qui tend à se répandre ces dernières années, il s agit de Zimbra. Offrant une messagerie collaborative, se gérant en interface web, depuis un simple navigateur ; il propose le partage de calendrier, l accès par webmail, développé en AJAX (langage de programmation), il est fortement interractif avec l utilisateur. Large sur ses protocoles de communication, lui aussi permet le fonctionnement sur différents systèmes d exploitation. Voila une solution particulièrement intéréssante, qui rentre en concurrence avec Postfix. L éditeur de Virtualisation VMware, vient d ailleurs de le racheter. Il s agit à cette heure d un logiciel opensource, qui souffre cependant encore de nombreux bugs et instabilités

64 Pour conclure, nous opterons pour la partie serveur de notre outils de messagerie pour le logiciel opensource Postfix, qui sera installé sur une machine virtuelle Debian 7. Bien que Zimbra semble remplir les mêmes besoins que Postfix et propose une interface graphique de gestion du serveur, nous optons pour la sécurité de fonctionnement, et également la stabilité. Postfix est de loin une des poitures, et a à de nombreuses reprises prouvé son éfficacité. Il est à comparer que le constructeur IT Apple, utilise justement Postfix comme serveur de messagerie. Zimbra ne reste pas dans l ombre c est une solution qui du fait de son rachat par WMware sera probablement très intéréssante dans les prochaines années. Sa flexibilité permettra d intégrer des données d un autre serveur, et ainsi facilitera une éventuelle migration, si tel en était le cas. A ce jour, Postfix répond exactement aux mêmes questions que Zimbra, en garantissant une stabilité et fiabilité unique, que nous ne retrouvons dans aucunes autres solutions pour les mêmestraitements d installation, maintenance, et prix

65 Sélection Client Une fois le serveur sélectionné, nous allons pouvoir transférer et recevoir des mails à d autres serveurs, ou encore sur notre propre serveur en local. Ayant décidé l utilisation de Postfix, il nous faudra un collecteur et un client compatible avec Postfix. En effet, Postfix se chargera du transfère des mails, mais un client va devoir lui envoyer les mails, pour que lui fasse son travail. De plus pour recevoir les mails autre part que sur le serveur, il nous faudra une collecteur. Certains programmes clients proposent les deux services en eux-mêmes. Deux solutions bien connue existent. Thunderbird, gratuit et performant, se complémentant avec de nombreux plugins. Et Outlook, le client le plus utilisé au monde, sur lequel nous avons été formé, et qui propose de très larges capacités particulièrement utile. De part l achat de license Office 2013 pour ses différents outils, comme le traitement de texte avec Word,de calcul ou de diaporama, tel que Excel, Powerpoint ; nous disposons déjà de licenses Office ; incluant le logiciel Outlook. Aussi, de façon très naturelle, nous mettrons en place Outlook comme client Mail pour notre client. L interface graphique Pour les personnes qui se connecterons via le webmail, au travers d un navigateur internet, nous dépplorons l interface graphique Roundcube, libre, légère et facile d utilisation

66 L anti-spam De très nombreux mails de publicité en tous genre sont quotidiennement envoyée à de très nombreuses entreprises dans le monde. Il s afit d un véritable flux de publicité qui sont continuellement généré. Souvent de façon grossière, mais parfois avec plus de professionalisme, les publicités peuvent se réveler de grands pièges. Ainsi ont été mit différents serveur dit «autorité de certification» ont été crée. Ainsi, la plupars des grands émeteur de mail sont connu et certifié. Il s agit là d une possiiblité à distinguer les emeteurs de spam. Une analyse de mots clés peut également être faite pour disintguer les chaines de caracèteres pouvant être apparenté à des publicités ou mails malveillants

67 Aussi, nous choisirons d utiliser un anti-spam libre, très utilisé par de nombreux système d exploitation. La plupars des logiciels de bloqueur de spam sont d ailleurs basé sur SpamAssassin. Celui-ci est un logiciel particulièrement éfficace et paramétrable, que nous avons l habitude d utiliser. Aussi, nos équipes compétentes sur ce produit, seront donc disponibles et éfficaces dans la maitrise de celuici Serveur TSE Pour rester cohérent dans notre logique de déploiement virtuel et afin d assurer la reprise d activité demandée par le client, nous nous sommes penchés sur la question du serveur TSE actuellement mit en place. A cette heure, le service administratif et la direction travaille sur le serveur TSE qui a été implanté par le prestataire. Au vu de la solution que nous proposons, ce serveur TSE qui était initialement prévu pour réduire la consommation et la gestion des postes clients ne semble plus nécessaire pour une utilisation bureautique classique. Aussi, nous proposerons de mettre en place une solution de transformation des postes physiques en postes virtuels afin de pouvoir les implanter sur la nouvelle infrastructure, et donc de garantir la sécurité et la disponibilité de celui-ci. Cependant, le fait de garder ce serveur TSE n est pas recommandé par nos services. Nous incitons la direction à utiliser les bureaux déportés que nous aurons mis en place via la technologie du VDI Serveur Web & ERP

68 Le cahier des charges qui nous a été remis précise que le serveur contenant l ERP n était pas de notre domaine d activité. Cependant, nous ne pouvons que conseiller à notre client de s inscrire dans la même dynamique que nous lui avons soumise depuis le début de la réponse à cet appel d offre. En cas de panne du disque dur du serveur, aucune reprise d activité n est alors possible. Nous invitons fortement le client à soumettre à son éditeur une requête de transformation du serveur physique en serveur virtuel, de sorte qu il puisse par la suite être migré sur notre baie de stockage. Cela permettra ainsi de réguler les risques et maintenir le système d information de bout en bout. Cette technologie s appelle le PtoV (Physical To VirtualMachine). Il s agit de virtualiser l intégralité du serveur. Cela présente de très nombreux avantages, mais indique également la contrainte de connaitre la gestion des licences actuellement utilisées par l ERP. La sécurité Web La direction de H&H nous a fait part de ses craintes concernant la sécurité de leur serveur Web. Outre le risque concernant la perte de l intégralité des données présentes sur le serveur, il y a le risque de la perte de ces données. En effet, le serveur peut tout à fait perdre son disque dur. Le système actuel de sauvegarde de l entreprise semble être peut fiable et si aucune sauvegarde n a été faite toutes les données seront potentiellement perdues. Aussi, notre solution de virtualisation permettra de répondre à cette problématique qui est celle de la reprise d activité. Cependant, le problème auquel ne répond pas notre solution, c est celui de la sécurité d accès au serveur. Celui-ci est actuellement hébergé sur un Serveur IIS 2003 membre du domaine. De très nombreuses failles sont bien connues sur ce type de système. Un bon pare-feu permettra d'éviter des attaques réseaux basiques tels que les scans de port ou le brute force de certaines applications par les ports utilisés par ces dernières. Mais en cas d attaque volontaire et étudiée, les différentes sécurités ne pourront pas suffire pour empêcher un pirate de s introduire dans le serveur. Le site web en lui-même sera aisément transférable sur un autre serveur. En effet, nous considérons que la sécurité la plus évidente est le changement de système d exploitation, afin de pallier aux différentes problématiques dû aux failles de programmation. Spécialistes en technologie Linux et Windows, nous recommandons au client de migrer sur un serveur bien plus stable, comme sous Linux concernant le site web

69 Les hébergeurs de site web proposent diverses solutions. Nous avons donc souhaité faire une comparaison des différents services proposés et du cout de cet hébergement. Les termes de haute disponibilité, ce sera bien mieux garantie dans un grand Datacenter, que sur une machine virtuelle hébergée avec toute sécurité volontaire de notre part. En effet les équipements des hébergeurs sont adaptés pour une très haute disponibilité, et une réparation ciblée également. De plus, les Datacenter des différents hébergeurs consultés sont stockés en France et donc soumis aux lois françaises. Nous choisirons d étudier le marché par de gros fournisseurs, qui garantissent et de façon certaine (de nombreux retours d expérience) une haute disponibilité et un service de support qui sera disponible H24 en cas de panne. Nous avons donc consulté le fournisseur numéro sur le marché, OVH et un concurrent 1and1. En analysant les différents devis que nous avons placés en annexes, nous avons orienté le choix de l hébergement chez OVH. Celui-ci propose des tarifs forts attractifs, et des services répondants parfaitement aux besoins de l entreprise. L hébergement web : En effectuant un bon examen, et avec une planification adéquate, vous pouvez assurer la disponibilité de votre hébergement de site Web. Des solutions s offrent à vous pour différents budgets. Vous devez être conscient de ce que pourrait vous coûter un arrêt, comprendre combien d argent cela engendrerais. Nous avons donc étudié pour vous la meilleure solution, qui limitera, pour ne pas dire supprimera, les risques de défaillance. Pensez au montant que vous coûterait une heure de temps d arrêt. En période de pointe, seulement une seule heure perdue à 1 ou 2 par clic pourrait-vous coûter des milliers de d euros. Nous avons conscience que vos campagnes courriel durement préparée pourraient vous faire perdre un grand nombre d abonnés et de ventes. Les revenus générés par une heure entière d une période de pointe vous échapperaient des mains et, en période normale, il vous faudrait plusieurs heures pour les récupérer. Le Standish Group a calculé que le coût moyen d un temps d arrêt pour un point de vente en ligne peut équivaloir en moyenne à 3000 la minute (petit et grand groupe confondue). Vous pouvez obtenir une approximation des coûts entraînés par un temps d arrêt en examinant les coûts directs suivants associés à différentes périodes de temps d arrêt (nous ne mentionnerons pas les dommages intangibles faits à votre marque, les visites et les ventes répétées que vous aurez perdues, ni le moral miné de votre personnel). À prendre en considération : le revenu moyen au cours de la dernière période des fêtes; le budget de commercialisation affecté à la période (y compris le temps et l argent consacrés à la préparation); le coût du stock non vendu en raison du temps d arrêt

70 La solution que nous allons donc mettre en place devra pour amener les pertes liées à l indisponibilité au plus proche du Zéro répondre aux critères suivant. Avoir les performances suffisantes pour subvenir aux requetés des clients Recourez à des serveurs de secours pour assurer la disponibilité de vos services essentiels Garantissez à 100 % la disponibilité au moyen d une grappe de serveurs La méthode infaillible garantissant la haute disponibilité de votre commerce électronique consiste à recourir à une grappe de serveurs qui permet de dupliquer les architectures d hébergement : l une servira aux services principaux, tandis que l autre s emploiera comme architecture de secours en cas de défaillance ou de trafic intense. En recourant à l équilibrage de charge pour partager le trafic entre vos deux Grappes de serveurs Web, vous pouvez doubler la capacité de trafic de votre site Web, ainsi que détourner tout le trafic vers un serveur qui fonctionne s il y a défaillance de matériel ou d application. Des options de surveillance de serveur vous permettent de savoir qu un problème existe dès qu il survient, et votre site Web demeure disponible pendant que vous ou votre fournisseur d hébergement réglez le problème en question. Présentation de la solution Nous allons donc prendre deux contrat d une solution VPS Cloud, ainsi nous pourrons héberger nos deux grappes de serveurs sur des sites distinct (petit rappel lors de l ouragan Katerina de multiples entreprises ont fait faillite à cause d un hébergement mono-site qui a était touché). Le schéma de notre installation correspondra donc à celui-ci-dessous

71 Nous allons donc avoir deux grappes de serveur distantes de plusieurs centaines de kilomètres (mais bien en France) qui seront en permanente communication et réplication. En interne sur chaque localisation, le site web serra copié et dispatché sur 3 Serveur virtuel. Ce qui les requête de vos clients seront donc dispatché sur plusieurs machines donc gain de performance en cas de gros moment d activité. En cas de défaillance d un serveur le second prend le relai sans même que l utilisateur puisse s en apercevoir. A l heure actuelle, le seul prestataire à pouvoir nous proposer une telle offre est le leader français du marché OVH, pour un cout dérisoire de 30 /mois par site distant utilisé. Soit un total de 60 par mois sur votre Toute cette installation appuie la vision de haute disponibilité souhaitée par la direction de votre entreprise. Rappelons que 1 utilisateur qui trouve un site indisponible a un moment T à 60% de rechercher son produit chez la concurrence et que si ce même client tombe une seconde fois sur votre site indisponible à 80% de chance de ne plus revenir. Chose qui s ajoute à votre perte de non vente. Détails des services fournis : Virtualisation 64 Bits VMware ESXi, Kernel personnalisable SLA 99.99%, redémarrage < 5 min. si panne hardware CPU garanti 6 vcores RAM garantie 8 Go Disque dur 100 Go Raid 10 Bande passante 100 Mbps Anti-DDoS Incluse IP 1 IPv4 et 1 IPv6 incluses (tous ports ouverts) Gestion /Monitoring KVM, Accès Root, Monitoring détaillé et principaux indicateurs Backup 1 fois /heure sur les dernières 24 heures Comment orienter notre choix? Postes clients Sélection clients légers La question principale était de bien définir quel type de client légers nous voulions car les prix varient et les fonctionnalités aussi. Nous avons donc opté pour une comparaison entre deux types de modèles bien différents afin de définir lequel correspondrait le mieux, et c est la solution tout-en-un que nous avons choisi. En premier nous avons sélectionné une solution de client léger tout en un, c est-à-dire une solution qui intègre la machine dans l écran. En second nous avons sélectionné un client léger dit classique auquel il faudra rajouter le prix d un écran. Ces deux solutions, bien qu étant proches sur le plan matériel, présentent toutes les deux des avantages et inconvénients. Le client tout en un est un point fort car en plus d un gain de place dans les bureaux il représente un gain en terme de maintenance car les probabilités d avoir une panne sur le matériel est amoindrie puisque ce dernier est divisé par deux

72 En revanche le client léger seul est moins cher et dispose d une plus grande puissance, pouvant donc se reconvertir dans d autres usages plus nécessiteux de puissance. Les principaux avantages de la solution tout en un sont : - Le prix - La garantie - La réduction des pannes Alors que de son côté, la solution seule présente aussi des avantages : - Plus de puissance - Plus de connectique - SSD 16Go Voici un comparatif entre les deux solutions retenues :

73 Dans le cas présent il n est pas intéressant pour nous de choisir la solution seule. En effet, la puissance des composants n est pas un frein pour nous aux vues de l architecture déployée (VDI). De plus, le prix et la garantie J+1 sont des arguments très concrets et que nous plaçons comme essentiels dans notre choix. Nous choisirons donc la solution tout en un pour l intégrer dans notre architecture, d autant plus car le fournisseur nous garantit que pour le nombre de machines commandées nous pouvons activer l option de boot Lan prioritaire dans le bios, sans frais supplémentaires. Nous ajouterons que nous avons choisi un modèle permettant un changement aisé du client léger intégré. En effet, si un problème matériel de client léger venait à se présenter, et que celui-ci ne pourrait pas être changé, il faudrait alors également tout le dispositif, et cela n est pas écologique. Le client sélectionné sera aisément Les ordinateurs portables La direction nous a fait part de sa volonté concernant l acquisition de quelques ordinateurs portables, pour la direction et le commercial. Nous avons ainsi convenu avec la direction que les différents critères de sélections seraient : Rapidité, fluidité Matériel récent et garantie Léger et compact Pas de nécessité de matériel puissant Nous avons par ailleurs de travailler avec certains revendeurs d ordinateur portable. Un de nos partenaires (Hewlett Packard), propose un modèle qui répond parfaitement aux critères précédents. Il s agit du portable HP Probook 4540s, accessible pour un prix très abordable, récent, garantie, qui permettra l utilisation des tout derniers logiciels Déploiement client légers Lorsque nous avons voulu obtenir le devis pour les clients légers, nous avons spécifié au fournisseur le besoin qu ils soient livrés avec le bios paramétré pour démarrer sur le réseau (boot PXE)

74 Une fois livrés, ces clients légers vont être placés et connectés au réseau. Nous enverrons ensuite un «packet magic» afin de réveiller l ordinateur (Wake On Lan). Une fois démarré il va essayer de contacter le réseau. Le serveur DHCP lui attribuera donc une adresse IP et lui fournira celle du serveur de déploiement. Le serveur de déploiement a été mis en place au préalable et les images de déploiements sont également prêtes. Routeurs Choix switch et routeurs Nous avons voulu un routeur performant et fiable, avec de nombreuses fonctionnalités. Les routeurs destinés aux entreprises peuvent grimper très vite en termes de prix et il nous a fallu les sélectionner soigneusement afin de n écarter aucun détail. Tout d abord nous remarquons que dès lors que nous dirigeons vers des routeurs performants et capables de gérer plusieurs centaines de connexions simultanées, CISCO est presque le seul sur le marché. Les autres constructeurs ne s avancent que peu sur ce terrain bien connu et conquis de l entreprise Californienne. Afin de maintenir une comparaison et de justifier notre choix, nous comparons ici deux modèles de routeurs, l un CISCO, que nous avons sélectionné, l autre NetGear. Les prix sont sensiblement différents mais il y a des raisons à cela. La première étant que le switch retenu est prévue pour les entreprises de bonne taille et embarque donc des fonctionnalités en conséquence. Il est par exemple possible de mettre en place jusqu à 50 tunnels VPN, ce qui est très pratique en cas de liaison inter sites. Bien que moins utile dans l immédiat, ce modèle dispose également du réseau sans fil. Deux connecteurs WAN, un 10/100Mbps l autre 10/100/1000Mbps assureront une liaison au réseau opérateur des plus performantes et réactive. Il est également important de préciser que le routeur intègre une fonction de parefeu de chez CISCO ainsi que la possibilité de manager les 8 ports 10/100Mbps qui composent le routeur. Pourquoi celui-ci? En comparaison des autres modèles sur le commerce, celui-là ne semblait pas avoir plus d avantage que les autres, rien qui justifiait une différence de prix aussi grande du moins. Mais, en effet, les 8 ports sont manageable ce qui rend ce routeur intéressant. Les premiers prix en dessous de celui-ci ne correspondent clairement pas aux attentes que peut avoir une entreprise, autant en terme de performance pure qu en qualité de service. C est pourquoi nous avons choisi ce modèle, qui répond en tout point à nos attentes. Switchs Penser à l'évolution du personnel Il faut prendre en compte que le personnel va évoluer dans les prochaines années. Dans cette optique il vaut mieux bâtir un réseau solide et anticiper les futurs éventuels problèmes.nous avons opté pour des switchs 48 ports, cela fera également un gain de place dans les baies et surtout d énergie. D autre part, le matériel HP a une réputation éprouvée et reconnue dans le monde professionnel. Des fonctionnalités en adéquation avec le besoin

75 Ces switchs représentent plusieurs avantages dont celui d être administrables et de disposer de deux ports SFP pour une compatibilité fibre ainsi que 4 ports 10/100/1000Mbps afin d assurer une liaison rapide. Etant donné que nous allons mettre en place un câblage inter switch afin de n en avoir jamais un isolé sur le réseau, ces ports nous seront utiles.ce modèle est également compatible PoE et prend en charge la téléphonie IP, deux points qui nous semblent également à prendre en compte dans la configuration que nous allons déployer.il est important d'avoir un matériel fiable et des liaisons intelligemment faites afin de ne couper le réseau à aucun moment, les clients légers utilisant le VDI (Virtual Desktop infrastructure de Microsoft) sont totalement dépendants de la bonne fonctionnalité du réseau. Pourquoi celui-ci? Nous avons choisi le switch HP Procurve en comparaison avec ses concurrents et ce pour plusieurs raisons. Nous pensions choisir un switch de la marque CISCO car réputé et fiable, et nous avons également été formés dessus ce qui aurait été à notre avantage. En revanche dans le cas présent nous hésitions entre un switch CISCO 2960 qui avoisinait le kilo euros, mais la dépense ne nous semblait ici pas justifiée. En effet, le switch procurve, en plus d être moins onéreux, dispose de 4 ports 10/100/1000Mbps ce qui en fait un véritable avantage pour nos liaisons inter switch. Mis à part ce détail appréciable, Il possède les mêmes caractéristiques techniques que les switchs équivalents concurrents. Il est rackable, manageable (niveau 2), gère la création de VLAN et tous les accès (Console, interfaces) sont sécurisés d emblée par SSHv2, SSL ou SNMPv3.Egalement, la consommation électrique d un switch HP est plus de 3X inferieure aux modèles équivalents de CISCO soit un excellent gain en termes d électricité. Voici un tableau comparatif technique des deux switchs retenus : Les modèles comparés sont équivalents. Le modèle du switch hp est : Procurve Le modèle du switch cisco est catalyst TC HP CISCO Nombre de ports Norme réseau 10/100 10/100 Ports 10/ Ports 10/100/ Ports SFP 2 2 Rackable Oui oui Manageable Oui Oui Niveau d administration 2 2 Consommation (W) 27w 71w

76 Le cœur de réseau : Afin d avoir un switch de niveau 3 et ainsi accéder à un panel d options qui nous permettront de mieux gérer notre réseau et surtout d éviter d envoyer des paquets inutiles aux mauvaises machines nous faisons l acquisition d un switch de niveau 3. En effet ce dernier permet de faire du routage et cette fonction, bien que non indispensable est très fortement conseillée. Les paquets échangés entre les différents ordinateurs iront donc directement à la bonne adresse de destination au lieu d aller interroger l ensemble des équipements avant de trouver le bon. Egalement, ces switches qui sont plus robustes permettront de faire la transition entre le routeur et les différents switches disséminés au travers du site. Il nous semblait donc important d en sélectionner un afin de structurer correctement notre réseau. En cas d évolution du parc, cela ne pourra être que bénéfique et sert donc aussi d anticipation.aussi nous avons comparé deux solutions proches sur le papier mais qui, malgré leur ressemblance, ne correspondent pas nécessairement toute deux à notre besoin. Voici un comparatif des deux solutions retenues pour le cœur de réseau

77 Les deux switchs sont équivalents et seule une légère hausse de consommation est enregistrée sur le switch HP. En revanche l économie financière est à prendre en compte. Etant donné que nous disposons de switchs HP, et dans l optique de proposer un parc homogène et propre, nous optons pour la solution de chez HP qui nous semble dans le cas présent la plus adaptée Adressage Afin d harmoniser les connexions clientes qui s effectueront via le Virtual Desktop Infrastructure de H&H, il est indispensable d établir un plan de gestion réseau clair et structuré. En cette idée, l adressage IP des machines, joue un rôle particulièrement important dans la gestion et la maintenance du parc informatique. En effet, l adressage IP viendra se loger de façon centrale dans la sécurité et les différentes communications qui transiteront au travers des différents équipements réseau et clients qui seront mis en place. Un adressage clair, avec une division en vlan permettra par exemple de pouvoir anticiper avec exactitude les besoins en termes d équipement réseau, mais également d éviter les dispersions de communications inutiles. Considérant les besoins en stabilité et fiabilité de notre client, nous avons opté pour du matériel de qualité assurant une continuité de service, ainsi qu une gestion efficace et éprouvée. Dans la même optique, nous baserons notre réseau IP sur une interconnexion de différents réseaux locaux virtuels. Nous utiliserons également un agent de distribution d adresses IP, un serveur DHCP. Le masque de sous-réseau, indispensable lors de la mise en place d un plan adressage a été étudié de façon à prévoir une marge d adresses IP disponibles sur le réseau initial. Ce réseau initial est découpé en réseaux virtuels, qui sont réservés aux différents services de l entreprise. Dès lors qu un utilisateur souhaite communiquer avec une ressource du parc informatique il émet un paquet en

78 broadcast, c est-à-dire, sur l ensemble du réseau. Quand de multiples utilisateurs envoient des données il est possible que le réseau soit surchargé. De sorte, en divisant le réseau global en différents sous réseaux, les paquets ne circuleront que dans leurs périmètre d attribution, ne surchargeant ainsi pas le réseau.ce qui permettra une sécurité accrue, et devient très facilement mangeable. Le matériel HP nous permettra une gestion avancée et aisée du réseau. Le serveur DHCP sera mis en place sur un serveur virtuel, un second serveur DHCP est prévu pour le relayer et permettre d éviter une surcharge de l adressage. Ce serveur distribue des adresses sur le réseau natif, qui sera placé en ; soumis à un masque de sous réseau soit un /23. Ce masque permettra l utilisation dans le vlan natif de 510 adresses. Certaines, celles des sous réseaux seront néanmoins réservées. La configuration des switchs de niveau 2 permettra d attribuer un vlan, à un port, ou un groupe de ports particuliers (agrégation). Nous utiliserons cette technique de réservation et diviserons le réseau en 10 sections. Le réseau principal en /23 contiendra différents vlan en fonction des services ainsi qu un vlan de gestion

79 De plus, les différents ports des switchs seront trunkés afin de permettre la communication entre les différents ports, par le routage inter-vlan. Le réseau de vlan sera divisé comme suit : Vlan 11 = Service Direction Vlan 12 = Service compta Vlan 13 = Gest Cmd Web Nom : vdir Nom : vcompta Nom : vweb IP : IP : IP : Mask : Mask : Mask : Gtw : Gtw : Gtw : Vlan 14 = Gest Cmd Vlan 15 = Réception Vlan 16 = Prépa & Exp VPC Livraison Livraison Nom : vvpc Nom : vrecep Nom : vexpd IP : IP : IP : Mask : Mask : Mask : Gtw : Gtw: Gtw : Vlan 17 = Service Technique Vlan 18 = Administration Vlan 19 = Toutes les imprimantes Nom : vtech Nom : vadmin Nom : vprint IP : IP : IP : Mask : Mask : Mask : Gtw : Gtw : Gtw :

80 Tous les serveurs et les switchs seront eux, apposés en vlan de gestion qui sera le vlan 18 nommé vadmin. Ainsi, la division en sous réseaux permettra de garantir une qualité de service, une sécurité accrue et une facilité de gestion. Tous les ports de vlan seront agrégés, de sorte qu en cas de coupure pour diverses raisons, la seconde prendra automatiquement le relai. Nous activerons également la démarche du spanning-tree sur nos différents switchs, afin d éviter que des boucles ne puissent être créées Supervision Bien que SCVMM et son gestionnaire de machine virtuelle nous permettra d optimiser aisément la gestion de l infrastructure H&H, nous mettrons en place un service supplémentaire sur le serveur web. Il s agit d un service de supervision réseau, et de surveillance des équipements. De façon continue, les équipements seront interrogés et testés pour déterminer la moindre défaillance. Aussitôt nous serons avertis par mail du problème, et pourrons ainsi le traiter dans de très brefs délais. Pour la sélection de l outil de supervision, notre choix s est porté vers le logiciel Nagios qui s avère être une référence dans le domaine de la supervision, et q²ui présente l avantage d être très facilement modulable. Il nous permettra une visibilité en temps réel et une réactivité particulièrement rapide. Nagios permet le scan régulier de services, grâce à ses agents. Nous pourrons également surveiller les différents composants et ressources du système d information. Ainsi, Nagios présente un véritable intérêt quant à son déploiement. Il favorise la gestion du parc, la transversalité des interventions, et surtout un regard critique et objectif sur les incidents qui pourraient survenir lors de la production. Nagios peut également intervenir sur d autres domaines d exercices, comme la supervision des alarmes incendie. De façon aisée, pour un cout moindre, nous pourrons superviser l ensemble tout comme pour les différents postes clients ou encore les alarmes incendie qui seront reliées à notre réseau IP

81 Ces alarmes disposent qu une connexion filaire et vont pouvoir transmettre en temps réel l état de santé du dispositif de sécurité. Nagios prend alors le relai et nous communique l information par mail, téléphone, ou sms. Des explications plus détaillées concernant l achat, la mise en place et la maintenance de ces outils se trouvent dans la partie de rapport consacrée à la sécurité incendie des bâtiments. Utiliser Nagios présente donc de très nombreux avantages. Cependant, sa gestion et sa configuration pour arriver à des résultats optimaux demande des compétences en gestion de fichier de configuration sous linux. Ainsi, au terme de notre contrat de maintenance, nous ne souhaitons pas que le client H&H ne puisse gérer et maintenir cet outil de supervision, s il ne dispose pas des compétences adéquates. Pour faciliter la gestion de ses fichiers de configuration, nous déplorions la solution Centreon. Solution Open source qui incite ses utilisateurs à partager leur problème, de sorte que la communauté puisse se renforcer. Centreon est bien connu du monde la supervision, il est un outil, qui se couple très régulièrement à Nagios pour les raisons citées ci-dessus. En effet grâce à Centreon, nous pourrons générer des fichiers de configuration aisément, et les exporter dans Nagios. Centreon propose également de multiples possibilités d extraction de graphique en fonction des données reçues par Nagios. Afin d aller plus loin dans la supervision de l infrastructure de H&H et proposer une solution d analyse et reporting complet, nous déploierons un second outil qui viendra se greffer au serveur

82 de supervision. Cet outil nommé cacti, viendra renforcer Centreon, qui outre la configuration aisée de nagios, permet la sortie de multiples graphiques. Cacti lui n est destiné qu à ça, générer des graphiques poussés, et particulièrement bien agencés. Cet outil également open source va nous permettre de générer de multiples graphiques afin d analyser la situation des incidents sur plusieurs mois, par exemple. Ainsi, la solution de supervision que nous proposerons au client H&H sera une solution automatisée, adaptive, et tournée vers l évolutivité. Fortement efficace, elle jouit d une grande communauté qui, en outre, peut apporter leur pierre à l édifice dans la gestion des outils, ou le perfectionnement de la solution Mises à jour Les différents équipements informatiques, reçoivent régulièrement de nombreuses mises à jour. Ces différentes mises à jour permettent de corriger des erreurs de codes, pouvant provoquer des disfonctionnement, des failles informatiques, ou encore des ralentissements. Les différentes mises à jour vont permettre de pallier à ces différents problèmes. En effet, un parc homogène et à jour, est un parc qui semble fait de façon claire et sécurisé. Aussi nous insistons sur l importance des mises à jour à appuyer sur les différents systèmes d information. Cependant, nous y mettons notre point de vérification avant tout. Des mises à jour ne sont pas nécessairement bonnes pour les systèmes. En effet, certaines, présentent des incompatibilités de code avec d autres programmes informatiques. Ceci peut mettre en péril le bon fonctionnement de l intégralité du système d information si la mise à jour instable est déployée sur l ensemble de l infrastructure. Aussi, nous souhaitons mettre en place un service natif de notre système d exploitation permettant la gestion et la configuration des mises à jour. Ce service natif s appelle Windows Server Update Service. Il permet de configurer le déploiement des mises à jour, de les tester, et d ordonnancer le moment du déploiement

83 Dans les différentes configurations de WSUS nous choisirons d installer la mise à jour sur un des postes de tests que nous proposons dans notre contrat de maintenance, durant 5 jours et sera ensuite déployée. Ce système permet de garantir l intégrité du système d information. Qu est-ce la gestion de parc? Gestion de parc La gestion de parc va nous permettre de gérer les ordinateurs individuellement (déploiement, configuration ) ainsi que d avoir un outil de gestion de tickets. Gestion des Tickets Et si on parlait ITIL? ITIL (Information Technology Infrastructure Library) est un ensemble d ouvrages recensant les bonnes pratiques «best practices» pour la gestion des services informatiques. C est édicté par l'office public britannique du Commerce (OGC). Les sujets abordés en particuliers dans ITIL sont : Comment organiser un système d'information? Comment améliorer l'efficacité du système d'information? Comment réduire les risques? Comment augmenter la qualité des services informatiques? ITIL définit donc des bonnes pratiques et cela permet d utiliser des solutions pour des problèmes (besoins) précis. Cela évite de «réinventer la roue». Pourquoi ITIL a-t-il tant de succès? Voici les caractéristiques d'itil qui ont contribué à son succès planétaire : non-propriétaire : ITIL est applicable dans toute organisation informatique car elle n'est pas dépendante d'une technologie propriétaire. ITIL n'est liée à aucune pratique ou solution propriétaire commerciale. non-dogmatique : ITIL propose des pratiques robustes, mûres et testées avec le temps qui s'appliquent sur tous types d'organisations informatiques. Mais cela ne veut pas dire que ce n est pas des solutions absolues et qu on ne peut pas faire mieux mais on utilise ce qui fonctionne ailleurs. Parmi les nombreux intérêts d appliquer ITIL on a le langage, en effet ITIL permet d utiliser des vocabulaires sans ambigüité. Typiquement, lorsqu on a un souci, certains dirons «problèmes», d autres «incidents» ou encore «alertes» donc ITIL permet de réduire les ambigüités afin de mieux se comprendre et d agir rapidement. ITIL v3 ITIL v3 est plus structuré mais également met l'accent sur la maîtrise du cycle de vie des services. ITIL V3 est constituée de 5 livres principaux décrits ci-après:

84 Stratégie des services (Service stratégies): Idée de base exprimant un besoin, exemple : il faut gérer les évènements du SI Conception des services (Service Design): Etude, conception de l architecture, définition des besoins (matériels, logiciels, BD, Serveurs ) Transition des services (Service Transition): Mise en place de service design «implémentation» : passage en production Exploitation des services (Service Operation): Exploitation de service design «ça tourne», le service est exploité Amélioration permanente des services : On essaie d apporter des améliorations aux services Ce schéma résume bien les différents services d ITIL v3, mais nous allons s intéresser plus à la partie service exploitation, cette partie-là couvre plusieurs processus dont Event Management (la gestion des événements). L'objectif des processus est de détecter les événements, leur donner une signification et déterminer la réaction appropriée (automatique ou manuelle). Souvent employé pour désigner une alerte, un incident, une notification... Glossaire d ITIL v3 : Evénement : Un changement d état ayant de l importance pour la gestion d un service informatique. Souvent employé pour désigner une alerte, un incident, une notification... Incident : Une interruption non prévue (planifiée?) d un service informatique Alerte : Avertissement qu un seuil a été atteint, que quelque chose a changé, ou qu une panne s est produite Problème : La cause d un ou de plusieurs incidents. Cette cause n est pas forcément connue au moment de l enregistrement du problème. Processus : Un ensemble d activités structurées conçues pour atteindre un objectif spécifique. Un processus traite une ou plusieurs entrées définies et les transforme en résultats (sortie)

85 L outil Si nous vous présentons ITIL c est parce que nous allons nous appuyer sur cette norme pour mettre en place la gestion des incidents. Nous proposerons donc des outils conformes aux bonnes pratiques ITIL. Voici une liste non exhaustive d outils de gestion de tickets. Nom GLPI GIMI LANDESK ALTIRIS System Center LANDPARK Editeur Indepnet PCI info LANDesk Software Symantec Microsoft Landpark Software Licence Gratuit Payant Payant Payant Payant Payant Gestion de Parc intégré Possibilité par greffon de plugin Oui Oui Oui Oui Oui Gestion VDI du Non Non Non Oui avec une gestion compliquée Oui, outil fait pour avec la partie SCVMM Non Suggestion EYE-TECH Solution Retenue X X X GLPI GLPI est une solution libre et open-source de gestion de parc informatique et de helpdesk. Tournant dans un navigateur, GLPI offre la possibilité de gérer l ensemble des problématiques de gestion de parc informatique : gestion de l inventaire des composantes matérielles ou logicielles, gestion de l assistance aux utilisateurs. Les avantages sont :

86 Outil gratuit Très modifiable Simplicité de gestion Diversité de plugins disponibles Les inconvénients : Pas de support Fonctions limitées Pas de gestion de machines virtuelles System Center Microsoft System Center est une famille de logiciels destinés à faciliter la gestion d'une infrastructure informatique. Ces solutions aident à mettre en place les projets de gestion des configurations, changements, opérations, incidents et problèmes au sein de votre collectivité, dans un environnement physique ou virtuel. La gamme de produits System Center simplifie les opérations et les changements, réduit les durées de dépannage et améliore les capacités de planification au sein de l organisation dans une optique de réduction des coûts. Les avantages : Gestion centralisée Support officiel Licence avantageuse (8 composants intégrés avec utilisation illimité dans la version Datacenter) Gestion du VDI (SCVMM développé pour ce fait) Fonctions très poussées Les inconvénients : Licence payante Installation et Configuration assez longue

87 System Center est divisé en plusieurs modules. Cependant quand nous achetons la licence, elle comporte tous ces modules. Le principal module qu on va utiliser est Virtual Machine Manager, Service Manager et Configuration Manager. Service Manager System Center Service Manager (SCSM) est une plateforme intégrée qui permet d automatiser et d adapter les pratiques recommandées pour administrer les services informatiques de votre entreprise. La solution s appuie sur la norme ITIL V3. SCSM inclut des processus assurant la gestion des incidents et la résolution des problèmes, le contrôle des changements et la gestion du cycle de vie du parc informatique. Petit tour rapide des fonctionnalités natives de SCSM : Gestion des incidents (helpdesk) Gestion des problèmes Gestion des demandes de changement Portail de création et de suivi des incidents/demandes pour les utilisateurs finaux Portail d analyses pour les opérateurs helpdesk et toute personnes participant aux demandes de changement IT Un Dashboard complet pouvant être intégré à un site SharePoint Création de rapports personnalisés grâce à SQL Server Reporting Services SCSM s appuie sur SQL Server Gestion des SLA (Service Level Agreement) Le point fort de SCSM par rapport à ses produits concurrents, est son intégration complète avec : Microsoft Active Directory Microsoft Exchange Microsoft SCOM, l outil de supervision Microsoft Microsoft SCCM, l outil de gestion de parc Microsoft Détail de ces intégrations : Connecteur Active Directory : Importation des éléments de configurations (ordinateurs, utilisateurs, groupes de sécurité, imprimantes etc )

88 Gestion des accès SCSM à partir des ACLs Active Directory Connecteur Exchange : Création d incidents à partir de la réception de mails Communication avec l utilisateur finale directement depuis SCSM en passant par Exchange Intégration avec une plateforme Microsoft Communicator 2007 ou Microsoft Lync 2010 Connecteur System Center Configuration Manager : Créer des incidents automatiquement lorsqu une alerte et crée sur SCOM. Importer des éléments de configuration depuis SCOM dans la base SCSM Connecteur System Center Configuration Manager : Importer les données d inventaires des postes de travail, notamment l utilisateur principal de la machine Mise à disposition des logiciels pour auto-déploiement depuis le portail des utilisateurs finaux Création automatique d incident à partir d erreurs DCM (Gestion de conformité des postes) Présentation rapide de l architecture SCSM :

89 Virtual Machine Manager Virtual Machine Manager (VMM) vous permet de configurer et de gérer la virtualisation hôtes, clusters hôtes, et les ressources d'infrastructure utilisées pour créer et déployer des machines virtuelles (VM). Ces ressources d'infrastructure comprennent groupes d'hôtes, les ressources de réseau, les ressources de stockage etc. System Center Virtual Machine Manager permet d augmenter l utilisation des serveurs physiques en offrant des fonctionnalités de consolidation vers une infrastructure virtuelle. SCVMM dispose de fonctionnalités d identification des serveurs candidats à la virtualisation, de migration rapide d un serveur physique vers une machine virtuelle (P2V) et le placement intelligent d une machine virtuelle en fonction des données de performance et des règles d administration. SCVMM permet aussi aux administrateurs et aux utilisateurs finaux de provisionner rapidement de nouvelles machines virtuelles en utilisant les fonctionnalités de selfservice. Enfin, SCVMM fournit la console d administration centrale permettant de gérer l ensemble des éléments d un Datacenter virtuel. Configuration Manager System Center Configuration Manager (anciennement Microsoft Systems Management Server ou SMS) est destiné à gérer de grands parcs d ordinateurs sur systèmes Windows. Il permet la prise de main à distance, la gestion de correctifs, l automatisation de tâches, la télédistribution d applications, l inventaire matériel et logiciel, la gestion de la conformité et l administration des politiques de sécurité

90 - 88 -

91 Licences Concernant les licences, nous allons prendre une licence Datacenter afin de pouvoir bénéficier d une utilisation illimité. Datacenter Standard Nombre de processeurs physiques par licence 2 2 Nombre de OSE gérés par licence Illimité 2 Comprend tous les composants de gestion de serveur System Center Droit à exécuter le logiciel serveur de gestion et de support SQL Server Runtime (SQL Server Standard Edition) Gérer tout type de charge de travail supportée Open No Level (NL) License et Software Assurance (L&SA) - Prix 2 ans Lecteur de code-barres Pendant l étude complémentaire du cahier des charges de la prestation attendue nous avons constaté que vous disposiez actuellement d une option présente sur votre ERP de flashage des colis via un système de code barre. Après réflexion et analyse de cet élément notre équipe a trouvé dommage que vous n utilisiez pas cet option qui pourrais facilité le travail de vos équipe de production qui ne seraient plus obligé d entrer manuellement les références des articles ou des différents documents. En réponse à cela nous vous proposons le rajout de cinq flasheurs de code barre qui augmenterons le temps de traitement et donc la performance et le gain de productivité. Une bref comparaison de modèles a était effectuée en interne. Nos critères de sélections étaient donc : Le prix

92 La performance La fiabilité La compatibilité MODEL Symbol LS1203 Datalogic Touch TD1100 Motorola LI2208 Datalogic QuickScan QD2130 I Prix HT 54,92 52, Performance 100 scans / seconde 256 scans / seconde 547 scans / seconde 270 scans / seconde Connexion FILAIRE FILAIRE SANS FILS SANS FILS Garantie 3 ANS 2 ANS 5 ANS 5 ANS poids 122g 153g 137g 140g Le model retenue sera donc le model de Motorola, marque reconnue dans le domaine de grandes entreprise pour le flashage de pétition avec une fiabilité aux hauteurs de nos désirs. Le fait que ce model retenue est sans fils donnera aux utilisateurs un confort d utilisation donc une meilleure productivité. Les flasheurs seront donc disposés dans les différents pôles ou ils y sont nécessaires notamment dans les Magasins. Nous assurerons le support sur ces flasheurs aux niveaux de la passerelle utilisateur ordinateur mais la partie utilisation dans l outil ERP sera gère par l éditeur/ mainteneur de l outil ERP Stockage Ne sous-estimez plus le risque lié à la perte de vos données! Le stockage est un des sujets les plus délicats aujourd hui. Il s agit là d un point essentiel pour les entreprises. Haute disponibilité et protection des données sont les grands mots lorsqu on doit mettre en place la solution de stockage. Au bureau comme à la maison, les données informatiques envahissent notre quotidien. Sauvegarde, partage, archivage qu il s agisse de photos personnelles ou de documents stratégiques, leur valeur est inestimable. En parallèle à l augmentation du volume de ces données, un risque évolue de façon exponentielle : leur perte! Qu elles soient privées ou professionnelles, nous mesurons mal l impact que peut avoir leur perte sur nos vies et il faut bien reconnaître qu un nombre encore trop élevé d entre nous ne s est tout simplement pas préparé à un tel risque. Nous sommes régulièrement confrontés, par le biais de nos clients, à des situations navrantes d entreprises au bord du gouffre pour avoir trop longtemps négligé cet aspect essentiel de leur stratégie informatique

93 Les points suivants doivent donc être abordés précisément avant d arrêter sa décision sur un modèle ou une solution : Quel est le volume d informations à copier? Quel est le débit Internet disponible? Quelles sont la robustesse du support et sa résistance au temps? Quels sont les différents types de sauvegarde supportés? À quelle fréquence est-il possible d effectuer des sauvegardes? Le processus est-il simple à appliquer? Combien de temps prend la restauration des données? Quels sont les coûts associés en cas d externalisation des données?

94 Quels sont les délais de conservation des documents pour les entreprises? Tout document émis ou reçu par une entreprise dans l'exercice de son activité doit être conservé pendant certaines durées minimales (même si rien n'empêche l'entreprise de l'archiver plus longtemps, sauf s'il contient des données personnelles). Ces délais de prescription (induits par les délais de reprise de l'administration, délais pendant lesquels elle peut mener des contrôles a posteriori) varient en fonction de la nature des papiers à conserver et des obligations légales qui s'y rapportent. Pour connaitre les durées obligatoires veuillez ouvrir le document ci-après : Les besoins exprimés par H@H durée_des_archives. pdf Suite à nos différents échanges lors de diverses réunions, nous avons établis avec H@H les besoins exactes. Besoin de sauvegarde continue pendant 5 ans minimum. La sauvegarde doit se faire en interne Possibilité d externaliser par exemple le stockage des disques (si solution choisie) EYE-TECH décide du plan total de sauvegarde Volume de données non connu, à estimer! Le choix du système de stockage quotidien des serveurs Deux options s offrent à nous concernant le stockage des serveurs : Le NAS (Network-Attached Storage) et le SAN (Storage Area Network). Ces technologies de stockage en réseau permettent de partager des ressources de stockage entre un nombre beaucoup plus important de systèmes de traitement et d'utilisateurs. Elles améliorent ainsi le rendement tout en simplifiant la gestion. Elles permettent également d'accéder plus rapidement aux données, dans la mesure où celles-ci peuvent être partagées entre plusieurs plates-formes, quel que soit le matériel ou le système d'exploitation utilisé

95 Le stockage NAS désigne un produit spécifique qui se situe à mi-chemin entre le serveur d'applications et le système de fichiers, tandis que le réseau SAN fait référence à l'architecture. Ce dernier est son propre réseau, puisqu'il connecte l'ensemble des unités de stockage et des serveurs. Voici un comparatif des avantages de ces deux solutions : Avantages NAS Facilité d'installation Vous pouvez ajouter des serveurs NAS à votre réseau local en quelques minutes, sans avoir à immobiliser ce dernier. Ces serveurs sont particulièrement adaptés aux applications qui impliquent de nombreux accès en lecture/écriture. Allégement de votre serveur réseau Les serveurs NAS contribuent à accroître les capacités de stockage "à la volée", ce qui vous permet de rediriger le trafic réseau et évite d'avoir à ajouter des nœuds réseau supplémentaires. Les responsables d'entreprise peuvent délester le serveur réseau des tâches de services de fichiers qui requièrent une largeur de disque importante. Le temps de latence est alors diminué et le risque de perturbation des tâches cruciales, telles que la gestion des applications ou la messagerie électronique, est réduit. La souplesse du stockage NAS permet d'ajouter des capacités de stockage où nécessaire, y compris sur des sites distants. Enfin, il permet d'effectuer des sauvegardes sans que les performances du serveur réseau s'en trouvent affectées. Simplification du partage de données Les réseaux modernes sont des environnements hétérogènes. Or, le stockage NAS vous permet de vous connecter à plusieurs systèmes d'exploitation et de partager des données entre des clients et des serveurs disparates. Pour faciliter ce partage de données entre platesformes, le stockage NAS prend en charge à la fois le protocole NFS SAN Consolidation des informations Principal avantage d'un réseau SAN: il permet de consolider une grande quantité d'informations au sein d'un réseau de stockage centralisé. Il connecte l'ensemble des ressources de stockage et soulage le trafic réseau associé à l'accès à ces ressources sur un réseau distinct. Cela se traduit par une réduction du temps de latence et une utilisation plus efficace des ressources. Accélération de l'extraction des données La technologie Fibre Channel sur laquelle repose le réseau SAN utilise une boucle arbitrée qui offre des vitesses de transfert de données réelles de 100 Mbps. Les réseaux SAN peuvent également prendre en charge un nombre quasiment illimité de matériels, si votre entreprise est prête à investir dans l'infrastructure (serveurs, multiplexeurs, passerelles et unités de stockage). Simplification des sauvegardes et restaurations Les réseaux SAN facilitent les opérations de sauvegarde et de reprise après incident. Les données peuvent ainsi être mises en miroir sur un site distant en vue d'une reprise transparente après incident, ou être sauvegardées rapidement sur un autre site sans que cela n'affecte les performances réseau. Un réseau SAN permet de sauvegarder plusieurs gigaoctets de données en quelques heures seulement. De plus, il prend en charge un large éventail de techniques réseaux (déroutement, clusterisation, reprise à chaud, mise en miroir et réplication, par exemple). Ces techniques assurent une protection contre la perte de données, et améliorent la disponibilité des informations. Évolutivité exceptionnelle Avec son évolutivité intrinsèque quasiment illimitée, le réseau SAN constitue un choix idéal pour les réseaux qui connaissent une croissance rapide, ou qui ont besoin d'augmenter leurs capacités de stockage de façon sporadique. Les

96 (Network File System) pour les systèmes UNIX et le protocole CIFS (Common Internet File System) pour les systèmes Microsoft. outils de repartitionnement et de gestion permettent aux administrateurs réseau de réallouer l'espace de stockage entre les serveurs en repartitionnant simplement le réseau SAN. Ce processus consiste à allouer un certain espace de stockage à un serveur réseau au lieu de connecter directement cet espace au serveur réseau. Malgré les avantages du système NAS nous préférerons opter pour le système SAN. Nous l expliquons ci-dessous de façon imagée. NAS SAN

97 Pour mettre en place cette solution nous prévoyons d acheter une baie de disques HP sur rack. HP SW P2000 G3 MSA FC SCSI DCC LFF ARRA : Le choix du système de stockage pour la sauvegarde Quel support de stockage? Les atouts Les contraintes La sauvegarde sur bande La sauvegarde sur bande est aujourd hui parfaitement maîtrisée et autorise les sauvegardes incrémentielles et différentielles. De même, les bandes peuvent être stockées en dehors de l entreprise pour plus de sécurité, permettant ainsi d éviter les risques de dégradation en cas d incident sur site. Fragilité du support, incapacité à prendre en charge des postes nomades, absence de rétrocompatibilité entre les différentes bandes autant de points qui rendent difficiles la relecture et la restauration des données. De même, l automatisation des tâches s avère compliquée, ce qui accroît le temps nécessaire à chaque manipulation. La sauvegarde sur disque Système très performant, grande disponibilité des fichiers, restauration des données garanti e à 99,9 %, sauvegarde automatique quotidienne, grande capacité de stockage, restauration rapide, données accessibles 24h/24 et 7j/7, copie des fichiers des postes nomades ou distants les avantages ne manquent pas, surtout pour une entreprise en plein développement. Néanmoins, le risque de panne existe et les données ne sont pas automatiquement dupliquées. Dans le cas d un important volume de données, la sauvegarde sur disque se révèle rapidement onéreuse pour l entreprise. Le choix était assez restreint jusqu à l arrivée du RDX, les seules solutions étant le disque dur externe pour les très petit budgets, ou les cassettes LTO. Avant de choisir une solution RDX ou LTO il est impératif de définir d'abord : La quantité de données à sauvegarder (présent et futur). La stratégie du roulement (définira le nombre des cartouches)

98 La durée de conservation des données (pour l'archivage). La technologie LTO Pour rappel le LTO (Linear Tape-Open) est une bande magnétique similaire dans le principe, aux cassettes vidéo de type Betamax. Cette technologie a été lancée au début des années 2000 et n a cessé d évoluer, au fil des années, pour arriver aujourd hui à une capacité de stockage de 6.25 To (LTO6 - non compressée) pour une durée de vie estimée à une trentaine d années. Le système de sauvegarde LTO existe dans différentes configurations (Lecteur autonome, Librairie de bandes automatisée). Il est encore aujourd hui largement exploité dans le cadre de sauvegarde critique de quantité importante de données. Son utilisation fréquente et massive dans nombre de structures, en a fait un standard de la sauvegarde et de l archivage des données Toutefois ce support comporte aussi quelques inconvénients : La fragilité du lecteur LTO, système complexe. Le lecteur LTO n est exploitable qu avec une interface SCSI ou SAS. Un logiciel de sauvegarde spécifique est nécessaire pour la gestion du lecteur LTO (A savoir qu il ne s agit pas d une unité logique, comme un disque dur directement exploitable par le système d exploitation). La technologie LTO ne garantit pas une rétrocompatibilité optimale des supports (une cartouche LTO1 ne peut être utilisée sur un lecteur LTO4). Le prix : il faut compter plus de 2500 pour un lecteur LTO 5 et environ 70 par Cartouche et 700 environ pour le logiciel de sauvegarde. Il s agit d une solution économiquement pertinente que dans le cadre de la sauvegarde d une quantité importante et régulière de données. Comme on le constate, le LTO comporte certains inconvénients (notamment son coût d acquisition et sa relative complexité de mise en place) qui le rend inaccessible et inadéquat pour des petites structures, aux besoins et aux budgets relativement soutenus. Depuis quelques années, un challenger, basé sur une base technique radicalement différente (le disque dur SATA) a fait son apparition. La technologie RDX Une nouvelle alternative au lecteur LTO est disponible sur le marché dans la sauvegarde, le RDX. Une alternative ABORDABLE! RDX est un format de stockage amovible sur disque développé par ProStor Systems Incorporated en Il est conçu comme un remplacement du stockage sur bande. La technologie de disque amovible RDX se compose de cartouches de disques portables et une station d'accueil RDX. Les cartouches RDX sont des disques durs antichoc et sont annoncés pour supporter une chute de plus d un mètre de hauteur sur un plancher de béton et d'offrir une durée de vie d'archivage allant jusqu'à 30 ans et de transférer jusqu'à 650GB/hr. Les cartouches RDX offre des capacités de 320 Go, 500 Go, 1 To, 1,5 To ou 2 To

99 La technologie RDX n est autre qu un disque dur militarisé, enveloppé dans un boitier pour le préserver des chocs. Cette technologie offre de nombreux avantages : Le lecteur RDX est robuste, léger et existe dans un grand nombre de variantes (interne/externe, connectique USB3/eSATA/ISCSI..). Le lecteur RDX de base dispose d une interface USB3 et peut se brancher sur tous les PC, MAC et NAS. La sauvegarde peut se faire avec un logiciel pour l automatiser ou manuellement avec un simple copier/coller. Capacité de stockage maximale aujourd hui de 2 To, post-compatibilité avec des capacités plus élevées. Pour le prix, il faut compter environ 150 pour le lecteur et environ 270 pour une cartouche de 1,5 To, 230 pour une 1 To, 150 pour une 500 Go. En archivage de données, la cartouche est garantie 10 ans. La technologie RDX évolue. On trouve maintenant sur le marché une diversité de solutions : Serveurs d archivage RDX autonomes qui se connectent sur le réseau et sauvegardent les données de tous les postes. Librairies RDX pouvant contenir jusqu à 8 cartouches pour des volumétries de sauvegarde et d archivage importantes. Comparaison LTO / RDX LTO Evaluation RDX Evaluation Coût lecteur + cher * - cher *** Coût cartouche - cher *** + cher ** Capacité 3 To natif *** 2 To ** Rétrocompatibilité lecture : 2 générations écriture : 1 génération ** Compatible toutes cartouches RDX *** Durée de vie en archive 30 ans *** 10 ans **

100 EYE-TECH est convaincu par la technologie RDX car elle permet aux PME de réduire le budget de la sauvegarde tout en respectant un degré d exigence élevé pour protéger les données vitales de l entreprise. Toutefois un support ou une stratégie de sauvegarde ne sont pertinents que dans un cas ou un besoin donné. Ainsi notre priorité, quel que soit le support choisi, est d'analyser les besoins en termes de dimension, de roulement, de nature des fichiers stockés... Nous prétendons donc acheter un lecteur/graveur de disque RDX ainsi que des disques RDX 1 To avec encryption AES 256Bit. Le lecteur/graveur pourra évoluer vers une librairie rdx si le besoin en stockage s agrandit. Lecteur externe RDX USB 3.0 Taux de transfert des données: 200 Gbit/s 109,29 HT Imation RDX Media Secure 1 To Cartouche RDX Media Secure 1TB 256Bit AES Encryption FIPS Level Cryptographic Erase 167,60 HT Les clefs d une bonne sauvegarde Une stratégie de sauvegarde s établit sur plusieurs points : La périodicité (journalière, hebdomadaire, mensuelle). Le roulement (idéalement effectuer la sauvegarde sur plusieurs supports). La notification (chaque sauvegarde, information ou alerte doit faire l objet d un compte-rendu à l utilisateur). La délocalisation (la dernière sauvegarde complète et réussie doit être entreposée dans un endroit sécurisé et éloigné de celui où elle a été créée). Mettre en place des processus humains de contrôle, pour régulièrement vérifier que les données sauvegardées sont exploitables

101 Détermination de la méthode L'étape suivante consiste à déterminer la meilleure méthode pour la sauvegarde de vos données. Les systèmes de sauvegarde offrent pour la plupart une grande variété d'options. Les plus courantes sont les suivantes : Complète : cette méthode transfère sur le disque une copie de toutes les données concernées par la sauvegarde, indépendamment de la modification des données depuis l'exécution de la précédente sauvegarde ; Différentielle : cette méthode sauvegarde tous les fichiers modifiés depuis la précédente sauvegarde complète, indépendamment de leur modification depuis la dernière opération de sauvegarde, quel que soit son type ; Incrémentale : ici, se verront transférer sur disque les seuls fichiers modifiés depuis la dernière opération de sauvegarde, quel que soit son type (complète, différentielle ou incrémentale). La méthode choisie dépendra essentiellement de la capacité des disques et des besoins en restauration, très rapide ou non. Par exemple, en effectuant quotidiennement une sauvegarde complète, vous aurez besoin d'une capacité très élevée sur le disque, mais seul le dernier disque de sauvegarde sera nécessaire pour restaurer toutes vos données. Inversement, en effectuant une sauvegarde complète une fois par semaine avec une sauvegarde incrémentale quotidienne, vous aurez besoin de beaucoup moins d'espace sur disque, mais les opérations de récupération nécessiteront de réaliser sur les serveurs la restauration de la dernière sauvegarde complète et de chaque sauvegarde incrémentale. De nombreuses entreprises utilisent une combinaison de méthodes leur permettant d'économiser l'espace sur disque, tout en autorisant cependant une restauration rapide des données. La règle est généralement d'effectuer des sauvegardes hebdomadaires complètes et des sauvegardes journalières incrémentales. Permutation des disques Vous devrez ensuite développer un plan de permutation des disques et déterminer l'endroit où les stocker. Malheureusement, les entreprises entreposent pour la plupart les supports de sauvegarde à environ un mètre des serveurs à protéger. Comme nous l'ont montré les sinistres physiques récents, ce n'est pas une méthode de premier choix pour protéger les données, car les bandes ou les disques risquent fort d'être détruites avec les serveurs en cas d'incendie, par exemple. Les supports doivent être entreposés hors site, dans un endroit sûr où l'on peut les récupérer rapidement en cas de besoin. Un plan adroit de permutation des disques est essentiel pour réduire les coûts du support et du stockage hors site. En réutilisant les disques après une période déterminée, les plans de permutation des disques

102 garantissent le stockage hors site d'un nombre minimal de disques Les schémas de permutation existent en diverses sortes et complexités. Le schéma de permutation peut-être le plus courant est le cycle Grand-père/Père/Fils, utilisé depuis longtemps et qui s'est révélé efficace. Dans la version d'origine de ce schéma, on effectue les sauvegardes complètes à deux intervalles différents. Le premier est mensuel et on entrepose immédiatement le support hors site (grand-père). On effectue également des sauvegardes hebdomadaires complètes (père) et on les conserve généralement sur site pendant la semaine de leur utilisation. Puis on les place hors site pendant un nombre prédéterminé de cycles hebdomadaires (deux ou trois cycles suffisent généralement). Les sauvegardes incrémentales journalières (fils) s'effectuent et se conservent également sur site pendant la semaine de leur usage, puis on les place hors site avec la sauvegarde hebdomadaire correspondante selon le même calendrier cyclique. À la fin d'un cycle pour un jeu de disques, celles-ci peuvent être réutilisées. On conserve chaque disque mensuel pendant 12 mois avant de la réutiliser. Voici le système de stockage prévu pour les disques contenant les sauvegardes complètes mensuelles :

103 Voici maintenant comment on procèdera pour les sauvegardes hebdomadaires :

104 On conserve généralement les jeux de disques hebdomadaires pendant environ trois semaines après leur départ de la salle du serveur (soit pendant quatre semaines), puis on les réutilise. Les schémas de permutation Grand-père-Père-Fils permettent d'entreposer immédiatement les sauvegardes mensuelles et hebdomadaires en un endroit sûr, tandis que l'on conserve la plupart des sauvegardes incrémentales journalières pour réaliser sur le champ une restauration. On les stocke ensuite hors site en cas de panne. Si ce système présente des limites (vous pouvez perdre une semaine de données en cas d'incendie ou autre catastrophe), il procure la sécurité la plus élevée au coût le plus bas. Planification des sauvegardes Logiciel de sauvegarde

105 Afin d effectuer nos sauvegardes nous avons besoin d un logiciel. Ceci va nous permettre entre autres de programmer des tâches de sauvegardes. Voici quelques avantages : - Restauration instantanée des VM : restauration d une machine complète à partir d une sauvegarde en quelques minutes. - Gestion centralisée - Restauration granulaire pour pouvoir restaurer un fichier au lieu de restaurer tout le serveur - Sauvegarde sans agent des machines virtuelles : Sauvegarde directement à partir du SAN, du LAN ou de la pile d E/S de l hyperviseur. - Navigation : Parcourez vos VM s et vos fichiers d hôtes dans une interface familière de type Explorer - Copie entre hôtes : Copiez vos VM s et templates entre datacenter - Copie entre un hôte et Windows/Linux : fournissez des fichiers ISO aux hôtes L avantage principal de Veeam backup est le fait qu il fournisse une version gratuite pour les entreprises ne nécessitant pas la version complète. Dans notre cas nous n estimons pas avoir le besoin d acheter la version complète. Vous pouvez trouver le comparatif entre la version gratuite et complète ici! A savoir que la version complète a un cout entre 620 et 1600 (standard = 620 ; Enterprise = 1000 ; Enterprise plus = 1600 ) Récupération des données

106 Bien que l intégralité de l infrastructure change au sein de notre solution, il se pose la question primordiale de la récupération des données. En effet, de multiples données sont disposées sur les serveurs, et en local sur les postes. Ces données sont très importantes, mais aucune disposition n est actuellement en place pour organiser ces différents flux de données. En effet, après les différentes questions portées auprès de Mr. Vanga, nous avons alors compris que de nombreuses données étaient réparties sur les différents postes de travail. Il nous a fallu alors proposer une solution afin de récupérer ces flux. Comment récupérer les données sur les serveurs? Dans un premier temps, nous devons analyser les différentes façons de pouvoir traiter le flux de données à récupérer. Nous connaissons déjà la localisation des données, mais nous ne connaissons pas la quantité totale de données. Mr Vanga est en train d analyser cette information, mais ne disposera pas de suffisamment de temps pour pouvoir avoir une réponse exacte. Il nous a cependant informés que la quantité ne dépasserait pas 2 Téraoctets sur l ensemble du parc. Ainsi, les données les plus simples à récupérer seront celles présentes sur les serveurs. Et au vu du nombre de serveurs, nous pratiquerons une sauvegarde intégrale, puis une sauvegarde des données sur notre baie. A cette occasion, nous créerons une LUN qui sera considéré comme un volume physique, qui se nommera «DataRecovery». Nous partitionnerons cette LUN en deux partitions une pour les serveurs, une autre pour les utilisateurs

107 La partie serveur sera composée également d un répertoire individuel à chaque serveur et sera rapidement redirigé vers les serveurs de fichiers. La partition utilisateurs se composera d un répertoire pour chacun des utilisateurs. Elle sera également montée comme un partage commun où chaque utilisateur aura des droits sur son répertoire. Nous demanderons ensuite à chaque utilisateur de bien vouloir transférer toutes les données indispensables sur ce répertoire, avec l assistance de Mr Vanga. Nous pourrons ensuite réimplanter ces données, soit dans un lecteur réseau partagé, soit dans un serveur de fichier où sur les bureaux déportés Imprimantes Au fil de nos diverses réunions, nous avons compris le fait que l entreprise H&H avait par le passé, bien trop eu affaire à divers prestataires pour des services tout aussi divers, créant ainsi un sentiment d abandon quand les réponses ne sont pas adaptées. Nous avons beaucoup travaillé dans ce sens, et nous souhaitons avoir une attention particulière avec toutes machines qui intervient directement avec l homme. Pour une société, la composition et transmission de documents est inévitable et son suivi obligatoire. Les différentes solutions détaillées dans ce rapport, permettront de pallier à la plupart des problèmes que pourrait rencontrer H&H. Cependant, EYE-TECH ne possède pas les qualités en tant que Maitre d œuvre pour assurer la maintenance et le dépannage du dispositif d impression de l entreprise. Les machines actuellement présentes tombent très régulièrement en panne, et nous ne pouvons-nous prononcer sur un contrat de maintenance, au travers de matériels en fin de vie

108 Aussi, nous souhaitons répondre à l intégralité du cahier des charges de notre client. Pour ce, nous souhaitons proposer une garantie de rétablissement, plus efficace que si nous devrions traiter avec le constructeur. Pour ceci, il est indispensable que les imprimantes actuellement placées dans l entreprise, soient changées. Au profit de matériel plus efficace, stable et fiable, mais également plus écologique. Le matériel à changer sera retraité par notre politique de recyclage des anciens matériaux. Ainsi, nous avons dirigé nos demandes vers des prestataires de services avec qui nous travaillons régulièrement auprès d autres entreprises. Ce prestataire sera soumis à un cahier des charges et nous retiendrons la meilleure proposition selon quelques critères : - Les imprimantes doivent être laser. - Sécurité des impressions. - La gestion des consommables sera assurée par nos services. - L ensemble du dispositif doit être sous location, et sous garantie du prestataire. - En cas de défaillance, l entreprise a besoin d une intervention curative sous 3h maximum en cas de défaillance minime. Et de J+1 en cas de défaillance grave. - L ensemble de la facturation doit être regroupée sur le contrat de location. - L interlocuteur privilégié reste EYE-TECH bien que le domaine d intervention se passe sur les locaux de H&H. Mr Vanga peut cependant être contacté afin de s orienter dans la maintenance. - Doivent permettre la connexion par IP filaire, non sans fil. Vous trouverez le cahier des charges exactes dans la proposition commerciale jointe à ce rapport. Nous pouvons ainsi considérer la position des imprimantes dans les locaux de l entreprise :

109 Cette implantation a été soumise à la direction de H&H qui a validé sa volonté de laisser les imprimantes aux emplacements stratégiques de productions élaborés par les techniciens qualités de l entreprise. Auprès de la direction, nous avons également pu retenir l importance de certaines données, comme le ScanToMail qui est nécessaire et indispensable à la bonne réalisation de production, l impression ou encore la photocopie doivent être disponibles également. Nous aurons besoin de deux types d imprimantes, moyen volume, et petit volume. Les imprimantes de moyen volume seront donc placées dans les magasins et les bâtiments disposant de plusieurs services, qui sont amenés à avoir une quantité non négligeable d impressions. Ainsi les imprimantes moyen volume devront respecter une capacité de 300 pages par jours, et ce dans une continuité de service qui doit être assurée. La direction et l administration consomment environs 200 pages par jour. Et les services plus informatisés, comme la comptabilité consomment environ 100 pages à la journée. Dans les locaux comme le snack, la réception, ou encore les bureaux 1 et 2 auront de faibles consommations qui n excèdent jamais 50 pages à la journée. Il est important que notre système d impression soit sécurisé et afin d éviter tout problème, nous placerons donc les imprimantes dans des réseaux locaux virtuels isolés, lequel ne pourra être contacté que par les réseaux qui physiquement seront trunkés au port du switch. La direction nous a donc fait part de sa crainte face à la prestation, mais aussi de sa confiance à l égard de notre qualité de service. Et afin d affirmer au client que notre choix est réaliste, nous

110 avons choisi de soumettre notre cahier des charges à trois prestataires, connus dans la région pour leur efficacité et sérieux de travail. Une nouvelle fois, le cahier charge et la réponse de chacun des prestataires se situe dans la proposition commerciale accompagnant ce rapport. Voici un petit récapitulatif des réponses que nous avons eu face aux exigences imposées. Le cahier des charges a été à chaque fois respecté et ce récapitulatif est à volonté financière : DSI Konica Minolta Alpes Copieur Xerox Engagement : 24 mois Engagement : 24 mois Engagement : 36 mois Prix location /trim Prix location 2399,99 /trim Prix location : 1950 /trim Prix impression couleur : 0.05 Prix impression couleur : 0.05 Prix impression couleur : 0.07 Prix impression noire/blanc : Prix impression noire/blanc : 0.01 Prix impression noire/blanc : 0.01 Impression: Impression: Impression: Prix estimé N/B jour : 2,115 Prix estimé N/B jour : 4.5 Prix estimé N/B jour : 4.5 Prix estimé couleur jour : 2.5 Prix estimé couleur jour : 2.5 Prix estimé couleur jour : 3.5 Prix estimé n/b mois : 63,45 Prix estimé n/b mois : 135 Prix estimé n/b mois : 135 Prix estimé n/b trimestre : Prix estimé n/b trimestre : 405 Prix estimé n/b trimestre : 405 Prix estimé couleur mois : 75 Prix estimé couleur mois : 75 Prix estimé couleur mois : 105 Prix estimé couleur trimestre : 225 Prix estimé couleur trimestre : 225 Prix estimé couleur trimestre : 315 Prix total estimé au trimestre : Prix total estimé au trimestre : Prix total estimé au trimestre : Cette synthèse est basée sur les chiffres que nous avons transmis aux trois protagonistes. Ces chiffres peuvent varier, donc la facturation des impressions peut également changer en fonction de la consommation de l entreprise. Une facturation fixe mensuelle pour la location des dispositifs est proposée, et une facturation secondaire à la consommation est donc mise en place

111 La gestion du dispositif d impression dans l entreprise n étant pas notre cœur de métier, nous préférons adresser cette tâche à un spécialiste. Celui-ci est chargé de veiller au bon fonctionnement du dispositif, en s assurant que le cahier des charges est bien respecté. Aussi, nous assurons à la société H&H que nous serons tout au long de notre contrat de maintenance disponible afin de répondre à tous besoin en termes de liaison avec les différents prestataires que nous adresserons pour remplir les tâches indispensables

112

113

114 Les logiciels antivirus en entreprise Sécurité Anti-virus L'histoire des logiciels malicieux (malwares en anglais) s'est déroulée en parallèle de celle de l'informatique. Du temps où Internet n'existait pas encore, les premiers malwares susceptibles d'infecter les ordinateurs étaient les virus et les vers. Puis avec l'arrivée des systèmes de messagerie et surtout à partir de la généralisation de l'usage d'internet sont apparus de nouveaux types de malware : troyens, rootkits, rogues... Si la motivation originelle des créateurs de malwares était d'obtenir de la notoriété en démontrant leur talents informatiques, leur objectif aujourd'hui est plutôt de générer des gains financiers, par un moyen ou un autre : vol et revente de données, extorsion... Une véritable cybercriminalité s'est ainsi organisée, ce qui explique que les malwares soient de plus en plus nombreux, diversifiés et sophistiqués. Comment se protéger des malwares La protection contre les nuisances informatiques de type malware tient tout à la fois du comportement et de l'utilisation d'outils de sécurité. Avoir une attitude responsable sur le Web Utiliser des logiciels piratés, télécharger illégalement ou fréquenter des sites pornographiques sont les sources principales des infections virales. Ces comportements sont à bannir. Maintenir vos logiciels à jour Les malwares utilisent les failles de sécurité des logiciels avant qu'elles ne soient connues et corrigées par les éditeurs. C'est pourquoi il faut les mettre à jour aussi régulièrement que possible. Cela concerne aussi bien le système d'exploitation (Windows) que le navigateur Internet et les programmes très utilisés comme Java et Adobe (Flash, Reader), et bien sûr votre logiciel antivirus. Utiliser des outils de sécurité Il y a deux grandes familles d'outils de sécurité, qu'il est incontournable de mettre en œuvre dans toute politique de sécurité informatique : le pare-feu (firewall), pour cloisonner le réseau informatique interne du réseau public Internet le logiciel antivirus, pour détecter et bloquer les attaques virales dans les fichiers, les courriers, etc. Fonctionnement de l'antivirus

115 En simplifiant, l'antivirus (on devrait dire antimalware) est un programme qui s'exécute en arrière-plan sur l'ordinateur et qui analyse en temps réel tous les fichiers accédés par l'utilisateur et qui surveille le comportement des programmes. Pour cela l'antivirus utilise classiquement trois méthodes : 1. Le scanneur dispose d'une base de signatures, sorte de dictionnaire qui contient toutes les «empreintes numériques» des malwares connus (des dizaines de milliers!) ; le fichier accédé est balayé pour vérifier qu'il ne contient aucune de ces signatures. 2. Le moniteur de comportement permet de vérifier qu'un programme ne tente pas des actions réputées anormales de modifications du système et typiques d'une attaque virale. 3. Plus «intelligent», l analyseur heuristique procède à une recherche dans les fichiers analysés de code suspect caractéristique de la majorité des malwares. Cela permet la détection proactive des nouveaux malwares, pas encore découverts et catalogués. Mais cette méthode peut aussi engendrer des «faux-positifs» (détections à tort). Après détection d'un malware, l'antivirus va mettre le fichier infecté en quarantaine, c'est-à-dire l'isoler. Il va ensuite proposer la réparation (lorsqu'elle est possible) où la suppression. L'éradication d'un malware peut parfois se révéler difficile voire impossible. En effet le fichier infecté peut avoir été irrémédiablement corrompu. Il arrive que le reformatage du disque reste la seule solution pour retrouver l'usage de son ordinateur! Comment choisir son antivirus Les éditeurs, et ils sont nombreux, ont largement tendance à autoproclamer leur produit comme le «meilleur antivirus» ; parfois des résultats de tests de laboratoires indépendants sont fournis à l'appui. Voici les critères qui nous paraissent importants dans le choix d'un logiciel antivirus utilisé en entreprise. La détection des menaces C'est évidemment le critère numéro un, la capacité à détecter les malwares de façon efficace, c'est-à-dire : tous les types de menaces, y compris les nouvelles variantes qui apparaissent régulièrement de la façon la plus proactive possible, mais sans générer de faux-positifs avec une diffusion la plus rapide possible des mises à jour heuristique et de signatures vers les utilisateurs En particulier la capacité à produire des signatures en urgence en cas de crise virale par exemple peut être un indicateur pertinent. L'impact sur les performances

116 Les traitements effectués par l'antivirus (voir ci-dessus) vont forcément ralentir les performances ressenties : il est important que les exigences système (processeur, mémoire...) de l'antivirus soit minimales afin que l'utilisateur n'en ressente pas les effets (ou dans des proportions acceptables). Les possibilités de configuration L'environnement informatique de l'entreprise peut nécessiter des réglages très précis au niveau de la mise en œuvre de la protection antivirale : il faut que le logiciel antivirus permette tous les paramétrages que le prestataire informatique devra réaliser. La discrétion C'est un point que nous jugeons important pour nos clients, l'antivirus ne doit pas «se manifester» à tout bout de champ et perturber l'utilisateur sans aucune raison valable. L'existence d'une console d'administration Lorsque le parc à protéger devient un tant soit peu conséquent, il est important de disposer d'une console d'administration qui permet une gestion centralisée de tous les ordinateurs. La gestion de la bande passante Des mécanismes doivent être prévus pour éviter que chaque ordinateur du parc utilise et sature la bande passante de l'accès Internet pour réaliser les mises à jour de sa base de signatures. Notre comparatif Au vu de notre infrastructure (virtuelle) nous avons pensé opter pour des solutions antivirales développées pour ces environnements. Afin d effectuer le bon choix, nous avons dressé un cahier des charges pour le choix de la solution antivirale. Ce cahier des charges a été remis à nos équipes techniques qui ont procédé au comparatif et au choix de la solution. Voici le cahier des charges Cahier Des Charges Solution Antivirus (voir de ce document) Suite au cahier des charges, nos équipes ont procédé à une étude du marché. De cette étude 2 solutions ont été retenues pour effectuer le choix final. Nous vous présentons ci-dessous les principales différences et la solution choisie. Nos équipes ont dressé un tableau comparatif en reprenant les points du CDC et notant de 1 à 10 les solutions

117 Fonction Bitdefender GravityZonein-a-box TrendMicro Deep Security Commentaires Fonctions Principales (FP1)Protection antivirale, antimalware, anti-spyware 10 9 Bitdefender plusieurs fois primés par AV Test et AV Comparatives (FP2)Le contrôle des périphériques 9 6 Définition des règles périphériques très soft chez TrendMicro dans la gestion simplifiée (FP3)Le contrôle des applications solutions très optimisés pour cette fonction (FP4)Administration de la solution solutions excellentes mais petit point gagnant pour la simplicité de Bitdefender Fonctions Optionnelles (FO1)Cryptage des appareils mobiles 9 0 Absence de cryptage chez TrendMicro (FO2)Pare-feu applicatif 7 9 Pare-feu très avancé chez TrendMicro dans un mode de paramétrage expert (FO3)Support du BYOD 10 0 Absence de BYOD chez TrendMicro. BYOD très développé chez Bitdefender TOTAL Solution choisie : BitDefender GravityZone-ina-box Présentation de la solution Bitdefender Une marque réputée depuis 2001 La marque BitDefender a été lancée à la fin de l année 2001, bien qu elle soit la succession des produits AVX, alors développés par SoftWin. L entité commerciale avait alors pris son indépendance en 2007, ce qui lui a

118 permis de se développer plus rapidement. A ce jour, la société est basée en Roumanie où les équipes d ingénieurs tentent de déjouer tous les pièges tendus par les pirates et les internautes malveillants. Antivirus pour Mac et antivirus pour PC En plus des compétences énoncées plus haut, BitDefender propose également des protections via un parefeu, un contrôle des usagers ou encore en préservant les fichiers d un ordinateur donné. Les solutions BitDefender sont proposées sur de nombreuses plateformes telles que Windows 98, Windows ME, Windows 2000, Windows XP, Windows Vista, Windows 7, Symbian (Nokia notamment), Mac OS ou encore Linux. De facto, la société roumaine propose des Antivirus pour PC mais aussi des Antivirus pour téléphone. Son cœur de métier lui permet d équiper les particuliers, les entreprises et les FAI (Fournisseurs d Accès à Internet). BitDefender propose notamment aux clients potentiels de réaliser une analyse entièrement gratuite de son ordinateur en ligne. Suite à celle-ci, il propose la solution la plus adaptée à l utilisateur. Un service pertinent et ludique en temps réel. Antivirus pour mobile et antivirus pour entreprise L innovation est aussi l une des clés de cette firme puisque l antivirus BitDefender a été le premier au monde à avoir été téléchargé légalement de façon gratuite. Egalement, plusieurs technologies sont éprouvées par cette marque qui propose certains l un des meilleurs antivirus du marché. C est notamment le cas du B-Have qui recréer un environnement virtuel depuis lequel une application est testée avant d être réellement installée sur l ordinateur ou le téléphone de l utilisateur. Aussi, l Active Virus Control permet de détecter les logiciels malveillants grâce à une analyse en temps réel. Deux procédés qui ont largement participé au succès des produits proposés par BitDefender. BitDefender, des solutions souples et professionnelles Les solutions proposées permettent de réaliser plusieurs points de contrôle. En effet, entre le reporting quotidien, la mise en place d installation à distance (idéal pour les entreprises), la fiche des incidents, le contrôle du matériel, le paramétrage des serveurs ou encore l analyse en temps réel, BitDefender protège votre matériel (ordinateur, téléphone, etc.) efficacement. En somme, que vous soyez un particulier ou une entreprise, cette marque, grâce à une gamme large, vous protégera tout le temps, qu il s agisse de vos données personnelles comme de vos fichiers. Les solutions Antivirus Essential, Antivirus Plus, Total Security 2012 ou encore Mobile Security vous attendent. Des versions d évaluation peuvent être téléchargées. De nombreuses récompenses ont été décernées à BitDefender comme le «Best Protection 2011» d AV Test ou encore le «Top Rated 2011» de chez AV Comparatives. GravityZone-in-a-box Bitdefender, éditeur de solutions de sécurité innovantes, annonce sa nouvelle solution GravityZone-in-a- Box pour protéger de façon centralisée, les environnements virtuels, physiques et mobiles des petites et moyennes entreprises. Une sécurité de haut niveau accessible aux PME

119 En s appuyant sur ses technologies antimalwares classées n 1 par les organismes de tests indépendants, Bitdefender introduit auprès des PME un nouveau standard de protection contre les malwares avec GravityZone-in-a-Box. Grâce à cette solution, les PME bénéficient en effet d outils avancés de gestion, de surveillance et de reporting des activités liées à la sécurité, nécessaires aux audits et au respect de la réglementation. Certifiée Citrix Ready pour VDI-in-a-Box, GravityZone-in-a-Box protège jusqu à 250 postes et permet aux entreprises de gérer facilement la sécurité des ordinateurs et serveurs virtuels ainsi que celle des postes physiques et mobiles. En effet, à l instar de la solution GravityZone annoncée en avril 2013, cette nouvelle solution intègre une console d administration de la sécurité unique permettant de contrôler de nombreux postes, quel que soit leur environnement. GravityZone-in-a-Box est aussi une solution pratique, prête à l emploi («plug-and-play») qui simplifie les tâches informatiques. Fournie sous la forme d une appliance virtuelle unique pouvant être importée en quelques minutes, GravityZone-in-a-Box est intégrée à VMware vcenter, Citrix XenServer et Microsoft Active Directory. Face à la complexité et la diversité croissante des environnements professionnels actuels, GravityZone-in-a- Box simplifie l administration et résout les problèmes de sécurité souvent rencontrés par les PME qui adoptent des politiques de «Bring-Your-Own-Device» pour les appareils mobiles. «La solution GravityZone-in-a-Box a été complètement pensée pour les PME» déclare Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. «Nous l avons conçue pour fournir la protection la plus efficace au monde, tout en permettant aux entreprises ayant un département informatique restreint de la déployer facilement et rapidement et de se consacrer à leur activité principale.» Les principaux avantages et caractéristiques techniques BitDefender GravityZone-in-a-Box fournit aux PME : - Une plate-forme unifiée de protection de tous les postes de l entreprise : serveurs physiques et virtuels, PCs, tablettes et smartphones. - Une gestion centralisée de la sécurité via une console unique (le Control Center ) offrant une gestion granulaire et permettant de bénéficier d une vision globale du niveau de sécurité de l entreprise. - Un encadrement du BYOD par la gestion de la conformité des appareils Android et ios avec les règles de l entreprise. - Une optimisation des performances grâce au déplacement de l analyse antimalwares sur une appliance virtuelle centrale ainsi qu une mise en cache intelligente empêchant la duplication des analyses et les phénomènes d AV-Storm, ainsi qu une gestion des ressources permettant d éviter les effets de latence au démarrage. - L absence d agent local lourd sur les postes physiques permettant ainsi de réduire l impact sur les environnements informatiques. - Une augmentation du ratio de consolidation de la virtualisation jusqu a +30% (N 1 des tests Login VSI)

120 - Une solution Plug-and-Play supportant toutes les plate-formes de virtualisation(vmware, Citrix, Microsoft, Red Hat, Oracle, ) et certifiée Citrix Ready pour VDI-in-a-Box. - Une intégration avec Microsoft Active Directory, VMware vcenter et Citrix XenServer pour un déploiement et une administration simplifiés. - Une solution souple vendue avec une seule licence, permettant à l administrateur de gérer jusqu à 250 appareils (stations, serveurs, smartphones ou tablettes) sans distinction, en fonction des besoins de l entreprise, quel que soit l environnement (physique ou virtuel). Disponibilité GravityZone-in-a-box est disponible via le réseau habituel de partenaires revendeurs Bitdefender, à partir de 30.5 HT par licence pour 1 an. Formation Utilisateur Le besoin de disposer d une solution logicielle pour contrer les menaces est essentiel. Cependant EYE-TECH pense que la faille la plus critique dans une société est que les utilisateurs sont mal informés. C est donc pour cela qu EYE-TECH planifiera des formations utilisateurs d environ 2h pour leur expliquer les principaux gestes à adopter pour éviter les menaces informatiques. Pourquoi un firewall Firewall De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir des actions douteuses, parfois gratuites, de destruction, vol d'informations confidentielles... Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle architecture est basé sur un firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu et

121 sans l'encombrer avec des activités inutiles et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. Les différents types de filtrages Le filtrage simple de paquet (Stateless) Le principe C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau et transport du modèle Osi. La plupart des routeurs d'aujourd'hui permettent d'effectuer du filtrage simple de paquet. Cela consiste à accorder ou refuser le passage de paquet d'un réseau à un autre en se basant sur : - L'adresse IP Source/Destination. - Le numéro de port Source/Destination. - Et bien sur le protocole de niveau 3 ou 4. Cela nécessite de configurer le Firewall ou le routeur par des règles de filtrages, généralement appelées des ACL (Access Control Lists). Le filtrage de paquet avec état (Stateful) Le Principe L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions dans des tables d'états internes au Firewall. Le Firewall prend alors ses décisions en fonction des états de connexions, et peut réagir dans le cas de situations protocolaires anormales. Ce filtrage permet aussi de se protéger face à certains types d'attaques DDos ( Attaques par déni de service). Dans l'exemple précédent sur les connexions Internet, nous allons autoriser l'établissement des connexions à la demande, ce qui signifie que l'on aura plus besoin de garder tous les ports supérieurs à 1024 ouverts. Pour les protocoles Udp et Icmp, il n'y a pas de mode connecté. La solution consiste à autoriser pendant un certain délai les réponses légitimes aux paquets envoyés. Les paquets Icmp sont normalement bloqués par le Firewall, qui doit en garder les traces. Cependant, il n'est pas nécessaire de bloquer les paquets Icmp de type 3 (destination inaccessible) et 4 (ralentissement de la source) qui ne sont pas utilisables par un attaquant. On peut donc choisir de les laisser passer, suite à l'échec d'une connexion Tcp ou après l'envoi d'un paquet Udp

122 Le filtrage applicatif (ou pare-feu de type proxy ou proxying applicatif) Le principe Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche Application. Pour cela, il faut bien sûr pouvoir extraire les données du protocole de niveau 7 pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple une requête de type Http sera filtrée par un processus proxy Http. Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer. Les limites Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le fait de devoir connaître les règles protocolaires de chaque protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou des protocoles faits maison. Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de paquet avec état, mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les réseaux à gros trafic au jour d'aujourd'hui. Néanmoins d'ici quelques années, le problème technologique sera sans doute résolu. Que choisir Tout d'abord, il faut nuancer la supériorité du filtrage applicatif par rapport à la technologie Stateful. En effet les proxys doivent être paramétrés suffisamment finement pour limiter le champ d'action des attaquants, ce qui nécessite une très bonne connaissance des protocoles autorisés à traverser le firewall. Ensuite un proxy est plus susceptible de présenter une faille de sécurité permettant à un pirate d'en prendre le contrôle, et de lui donner un accès sans restriction à tout le système d'information. Idéalement, il faut protéger le proxy par un Firewall de type Stateful Inspection. Il vaut mieux éviter d'installer les deux types de filtrage sur le même Firewall, car la compromission de l'un entraîne celle de l'autre. Enfin cette technique permet également de se protéger contre l'arp spoofing

123 Les différents types de firewall Les firewalls matériels Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de «boite noire», et ont une intégration parfaite avec le matériel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau. Souvent peu flexibles en termes de configuration, ils sont aussi peu vulnérables aux attaques, car présents dans la «boite noire» qu'est le routeur. De plus, étant souvent liés au matériel, l'accès à leur code est assez difficile, et le constructeur a eu toute latitude pour produire des systèmes de codes «signés» afin d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que dans les firewalls haut de gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall très sûr. Son administration est souvent plus aisée que les firewalls bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente. Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout firewall. Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du matériel pour cette mise à jour ce qui peut être, dans certains cas, assez contraignant. Enfin, seules les spécificités prévues par le constructeur du matériel sont implémentées. Cette dépendance induit que si une possibilité nous intéresse sur un firewall d'une autre marque, son utilisation est impossible. Il faut donc bien déterminer à l'avance ses besoins et choisir le constructeur du routeur avec soin. Avantages Intégré au matériel réseau Administration relativement simple Bon niveau de sécurité Inconvénients Dépendant du constructeur pour les mises à jour Souvent peu flexibles. Les firewalls logiciels Présents à la fois dans les serveurs et les routeurs «faits maison», on peut les classer en plusieurs catégories : Les firewalls personnels Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent être contraignants et quelque fois très peu sécurisés. En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester accessible à l'utilisateur final

124 Avantages Sécurité en bout de chaîne (le poste client) Personnalisable assez facilement Inconvénients Facilement contournable Difficiles à départager de par leur nombre énorme. Que choisir Afin de garantir une gestion simplifiée et une sécurité accrue nous allons choisir une solution tournée sur un firewall matériel. Le produit Selon les besoins définis nous avons procédé à une étude du marché. Nous vous présentons un comparatif entre deux produits retenus pour le choix final. FONCTION WATCHGUARD FIREBOX T10 FIREWALL NETGEAR FVS318G INTERFACES 3 en 1 Gbits 8xLan & 1xWan en 1 Gbits TYPE DE FILTRAGE Stateful Packet Inspection, Deep Application Inspection, Proxy Firewall Stateful Packet Inspection, Proxy DNS PROTECTION CONTRE MENACES LES Bloque les logiciels espions, les attaques DoS, des paquets fragmentés et mal formés, les menaces combinées et plus --Non connu-- PROXY HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323 DNS VPN 5 Tunnels IPSec/SSL/L2TP 5 tunnels VPN IPsec ALARMES NOTIFICATIONS ET SNMP v2/v3, , Mgmt. System Alert Alertes , syslog VLAN SUPPORT 10 VLAN --Non Supporté VOIP H.323. SIP --Non Supporté-- TARIFS 512,40 avec 3 ans de garantie & Pack security suite 129,89 garantie de 3 ans PRODUIT CHOISI X

125 Watchguard Firefox T10 WatchGuard propose sa nouvelle gamme WatchGuard Firebox T10, destinée aux TPE, aux sites distants et aux télétravailleurs. Combinée à la technologie RapidDeploy unique de WatchGuard, la protection UTM totale est aussi simple que de brancher et d alimenter fournir un moyen fiable pour protéger vos données n a jamais été aussi simple. Le WatchGuard Firebox T10 combiné avec Security Suite est idéal pour les petits bureaux à la recherche d'une protection étendue du réseau. La Security Suite comprend : WebBlocker : filtre URL et le contenu Web en bloquant accès HTTP et HTTPS pour les contenus web inappropriés ou malveillants Contrôle des applications : surveiller, suivre et bloquer plus de 1800 applications Web et d'affaires SpamBlocker : bloquer les courriels indésirables et les virus qu'ils peuvent transporter Antivirus de passerelle : détecter et prévenir les logiciels espions connus, virus, vers, chevaux de Troie et les menaces mixtes d'atteindre votre réseau Intrusion Prevention Service : protéger votre réseau contre un large éventail de menaces, y compris les injections SQL, DoS, cross-site scripting et les dépassements de tampon Reputation Enabled Défense: assurer la navigation Web rapide et sécurisé à l'aide d'url recherches de réputation basés sur le cloud LiveSecurity : garantie matérielle, le support technique, mises à jour logicielles, alertes de menaces et de l'accès aux ressources éducatives de sécurité

126 Audit de sécurité Afin d être sûr de notre infrastructure et de pouvoir assurer la sécurité du réseau qui va être mis en place, nous allons procéder à des audits avec des tests d intrusion. Ces tests seront effectués par une société extérieure experte dans le domaine qui nous fournira un compterendu complet avec les possibles améliorations. Voici quelques informations concernant l audit de sécurité informatique : Se mettre dans la peau d'un pirate Pour les responsables de la sécurité des systèmes d'information (RSSI), les tests d'intrusion sont plutôt séduisants au premier abord. Mis en œuvre soit depuis un poste interne de l'entreprise, soit depuis l'extérieur via un point d'accès Wi-Fi par exemple, ils consistent à éprouver une plate-forme informatique d'entreprise comme le ferait un pirate. Sites Web, serveurs de messagerie, postes de travail, applications métiers... L'ensemble des briques du système d'information peuvent ainsi faire l'objet de tentatives d'intrusion visant à éprouver leur robustesse. Les audits de vulnérabilité jugés plus efficaces Une alternative est souvent opposée aux tests d'intrusion : les audits de vulnérabilité et de configuration technique. Une prestation qui consiste à contrôler l'adéquation du paramétrage d'un système dans lzq règles de l'art en matière de sécurité (sur le plan de la gestion des droits d'accès, de la gestion des services pour pallier aux failles...). Test de Sécurité Interne : 80% des intrusions proviennent de l intérieur. C est pourquoi les experts en sécurité informatique procèdent à de nombreux tests, dans les mêmes conditions que s ils étaient des collaborateurs, des prestataires de l entreprise, ou même un pirate ayant réussi à s introduire dans le réseau. Comment se déroule un test de sécurité interne? 1. Découverte de la topologie du réseau. 2. Tentative d écoute réseau sur le LAN. 3. Tentative de sortie du VLAN local. 4. Recherche des éléments clefs (serveurs de fichiers/mail/active directory, etc.). 5. Tentative d accès aux serveurs clefs. 6. Rédaction et présentation des rapports de test, de préconisation et de CODIR

127 Test de Sécurité Externe Ce test d intrusion «en aveugle» a pour but de vérifier s il est possible de s introduire dans vos systèmes depuis l extérieur de l entreprise. Comment se déroule un test de sécurité externe? 1. Initialisation du test de sécurité 2. Découverte du périmètre 3. Phase d élaboration du test de sécurité 4. Avancée dans le réseau local 5. Rédaction des rapports 6. CODIR Normes Ces tests vont également permettre de savoir si nous respectons la norme ISO par exemple. Cette norme spécifie un système de gestion de la sécurité des systèmes d information (SGSSI) / Information Security Management System (ISMS). Ce SGSSI est structuré en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer), afin de respecter le principe de la roue de Deming, issue du monde de la qualité. Ce concept permet d établir un parallèle avec les normes relatives aux systèmes de management de la qualité (ISO 9001) et de l environnement (ISO 14001). ISO est la seule norme reconnue sur le plan international pour la gestion de la sécurité et du risque de l'information. La certification par l'industrie de nos contrôles de sécurité garantit les données de nos clients. La certification ISO permet à EYE-TECH d'attester d'un environnement solide de contrôle de la sécurité des informations, afin de gérer la sécurité et de réduire significativement les risques en matière d'information au sein de l'entreprise

128 En incorporant les contrôles de sécurité ISO au cœur même de nos solutions, nous contrôlons la confidentialité, l'intégrité et la disponibilité des données de nos clients à travers les différentes technologies d''infrastructure et de plateforme sur lesquelles sont bâties nos solutions, ainsi que nos propres systèmes de gestion des services et de réseau. Ce processus s adapte très bien à l informatique, voici une illustration de ceci. La société Nous avons bien sur des partenariats avec des sociétés spécialisées dans l audit de sécurité. Après une brève étude nous avons conclu que la société la plus adaptée à tester votre infrastructure serait FREE SECURITY. La société

129 Freesecurity est spécialisée dans le domaine de la sécurité informatique autour d'un triptyque : l'audit, le conseil et la formation. Concernant les tarifs, nous avons pu obtenir des baisses considérables grâce à notre partenariat. Ces audits seront donc facturé 900 HT par jour. Freesecurity nous garantit un résultat satisfaisant en 5 jours complets. Nous aurons ainsi un coût total de 4500 HT Salles serveurs et baies de brassages Les baies, une notion à ne pas négliger En effet il n est pas possible d entreposer les serveurs, les Switchs et autres équipement posés sur le sol. Cela viole tout à fait les lois en terme de sécurité et créer de forts risques de chauffe. Enfin il n est pas imaginable d entreposer l équipement tels quel et il faut acheter des baies de stockages. A la différence des Switchs nous n aurons pas à sélectionner plusieurs tailles de baies. Effectivement, chaque baie sera peuplée de seulement 3 équipements simultanés et n aura donc pas besoin d être très grande. Nous avons choisi ce modèle de baie de chez DIGITUS car il est à la taille qui convient et à un dispositif de sécurité par clé ce qui en fait un avantage pour un prix tout à fait acceptable. Afin de visualiser les différentes baies à mettre en place nous avons réalisé un schéma de leur implantation. DIGITUS Baie de brassage 20U montée 400 HT

130 Voici le schéma de représentatif que nous mettrons en place : Sécurité de la salle serveur Suite à notre dernière visite commune dans vos locaux, nous avons analysé votre installation actuelle ainsi que la disposition de vos locaux afin de trouver les emplacements a utilisé pour l installation des serveurs. Pendant cette visite nous avons remarqué qu aucuns locaux n ont une disposition qui permet de mettre en place l installation informatique principale de l entreprise à savoir la salle serveur. Nous avons donc établie différents point important à mettre en place dans les locaux La sécurité des accès La sécurité incendie La climatisation Ces points sont très critiques pour une sécurité optimale, qui va de la sécurité physique à la climatisation en passant par la sécurité incendie. La sécurité des accès. Ce que les entreprises n ont pas forcement conscience est que les dangers ne viennent pas forcement d éléments extérieurs mais peuvent aussi venir d employé interne mal intentionné

131 Pour cette raison il est très important de sécurisé physiquement la salle Serveur de l entreprise car les conséquences peuvent être désastreuse et ce présenter de différentes façons à savoir Le vol de matériel La perte de confidentialité (vol ou copie de documents ou de sauvegardes, mise en place de bretelles d écoute) Pertes d intégrité Sabotages Indisponibilité des installations. Nous Installerons donc un système de gestion d accès aux salles serveurs affins de réduire au maximum ce risque. Vos employées ayant déjà un system de badges pour les gestions ressources humaines (carte de pointage). Nous avons choisi un system de doubles authentifications avec restrictions d accès à uniquement que des personnes ayant un besoins réelle d y avoir accès. Ce system fonctionnera donc par passage du badge employé ainsi que d un code personnel ce qui en cas de perte d un badge par une personne ayant droit d accès ne pourras pas mètre en péril la sécurité de l entreprise H&H La sécurité incendie Les incidents lies a l incendie ou aux explosions pouvant conduire à une destruction totale ou partielle peuvent être de différentes origines Nous avons donc recherché pour vous la solution la plus adapté à votre installation afin d avoir une sécurité la plus optimal possible. Cette solution sera basée sur des éléments essentiels La couverture des murs des pièces par une peinture ignifuges Les traitements ignifuges sont un apprêt chimique de protection qui rend résistant au feu une matière inflammable. Un produit ignifuge protège donc les matériaux sur lesquels il est appliqué en retardant ou en stoppant la propagation des flammes. C est un élément de protection passive contre l'incendie. Certains traitements anti-feu ont reçu un PV de classement de réaction au feu ; une attestation d'ignifugation sera délivrée pour chaque traitement. Le traitement est PERMANENT

132 En supplément nous installerons un system d extinction automatique à gaz : Le but étant d avoir un system de détection automatique relié à notre system d alarme. Le matériel informatique étant fragile à l eau nous utiliserons un système d extinction à base de gags. Ce système devra obligatoirement répondre aux règles APSAD R7 et R13 portant sur les Systèmes de Sécurité Incendie et les Systèmes d Extinction Automatique à Gaz. La climatisation Système de conditionnement d'air (HVAC : Healing, Ventilation and Air-Conditionna) La ventilation et la climatisation ne sont pour beaucoup de personnes qu'un détail souvent négligé alors que ces deux sont des éléments fondamentaux de la sécurisation des systèmes d'informations. Lorsque l'on parle de climatisation des salles serveurs, on parle de climatisation de haute précision. La climatisation doit donc garantir en permanence une température ainsi qu'un niveau hygrométrique adapté et le plus constant possible afin de ne pas faire subir au matériel informatique de trop grosses variations. L installation devra répondre à des éléments assez stricts : -La température ambiante du site informatique devra être à 21 C (+ ou - 1 C) La température de soufflage du site informatique devra être supérieure à 16 C Toute variation de température ne devra excéder 1 C par heure -Le taux d'hygrométrie d'ambiance du site informatique devra être de 55% (+ ou - 5%) Toute variation du taux d'hygrométrie ne devra pas excéder 5% par heure

133 Garanties Quel plan de garantie met-on à disposition? Selon leur importance au niveau de l infrastructure nous avons différentes garanties sur les différents composants de notre solution. Tout d abord nous illustrerons les différents équipements par un schéma représentatif qui nous servira identifier les différentes parties de notre solution nécessitant une garantie. Nous illustrerons par la suite la criticité décroissante de ces équipements, visant à justifier le choix des différentes garanties sélectionnées. En réponse au cahier des charges nous devons assurer une continuité d activité ce qui induit que tous les équipements sont critiques et il ne s agit pas ici de leur enlever de l importance mais bien de définir les priorités afin d assurer la continuité

134 Criticité des équipements et garanties associées Afin de définir quel type de garantie il est préférable de mettre en place et pour quel équipement, nous avons établi un ordre de criticité du matériel. Voici ce qu il en est de manière décroissante, du plus important à l équipement dont la garantie ne nécessite pas d intervenir en J+1. Il nous semble évident que l architecture même du réseau est à protéger avec le plus grand soin. Aussi, en terme de criticité nous avons classé comme indispensable les éléments suivants du réseau. -Le SAN : il héberge nos VM, c est le centre de notre architecture -Les Serveurs Hyper-V qui font également partie intégrante de la solution -Le routeur : sans lui notre réseau ne fonctionne plus Les éléments suivants ont été classé très importants et nous ne pouvons à terme nous en séparer bien entendu, néanmoins leur criticité n est pas aussi élevée que les composants principaux du réseau. -Les onduleurs pour les grosses baies (SAN, Serveur) -La firebox : qui tient notre réseau à distance des attaques. -Les switchs : sans eux notre réseau ne peut communiquer Quelques explications : Plan de reprise/continuité d activité Ces plans sont pensés en vue d'un sinistre important sur le système informatique. Si ce dernier est touché, il est nécessaire d'assurer la sauvegarde et l'archivage des données. En prenant le temps de les rédiger, vous anticipez les risques encourus en analysant l'impact d'un sinistre sur votre SI. Le plan de reprise permet de connaître l'équipe et les rôles de chacun en charge du plan de reprise ainsi que la liste des procédures à suivre. La reprise des données (PRA) est le dernier maillon de la chaîne et ne s'applique que pour protéger les applications vitales pour l'activité de l'entreprise. Contrairement au PCA qui protège contre un dysfonctionnement matériel, le PRA assure contre des sinistres extérieurs. Penser la catastrophe C'est la première étape de conception d'un Plan de Reprise d'activité (PRA). Il faut arriver à imaginer l'inimaginable, comme un incendie par exemple, pour pouvoir imaginer un scénario de reprise. On pense que ça ne peut pas arriver et pourtant, c'est dans ces moments-là qu'il faudrait avoir un plan de reprise d'activité

135 Prévoir la gestion du risque par le personnel Un point capital de la mise en place d'un PRA concerne la gestion humaine du risque. Qui fait quoi en cas de problème? Quelle est la responsabilité définie de chacun? Souvent, ce ne sera ni le PDG ni le DSI qui vont devoir intervenir dans l'urgence et gérer la crise. Les personnes seront sélectionnées dans l'entreprise au préalable et cela permettra généralement un gain de temps appréciable en cas de problème. Procéder à l'inventaire applicatif Chaque module applicatif doit être évalué pour en déterminer sa criticité en cas de crise et le traitement dont il doit faire l'objet pour le préparer aux incidents. Cette étape nous permet simplement de connaître le besoin de sauvegarde et de restauration de certaines données et serveurs. NOTA : Il faut bien prendre en compte que tout sauvegarder n'est pas concevable. Définir des priorités, des techniques et un prix Il est bien clair que l'on ne souhaite perdre aucune donnée en cas de crash... Mais il faut se rendre à l'évidence : en fonction des secteurs d'activité, des métiers, les exigences vis-à-vis du système d'information seront diverses. Il faut arriver à considérer que l'indisponibilité peut être autorisée, en fonction du degré de criticité des données métiers et des données techniques. À partir de là et seulement à partir de cette prise de considération, on pourra calculer et souvent négocier un prix de mise en œuvre. Par exemple, si la sauvegarde et la reprise d'activité doivent s'effectuer en moins d'une minute, on doit mettre en place des environnements synchrones et le coût de l'infrastructure monte très vite. Choisir le matériel de crise adapté Certains PRA prévoient la construction d'un site distant, qui va prendre le relais en cas de catastrophe sur le site principal. Dans ce cas, la matériel de remplacement devra d'une part être constamment prêt à l'emploi, mais aussi être adapté à cette situation de crise, qui dans une majorité de cas, ne durera que quelques temps. Les performances du système d'information seront dégradées, mais devront permettre d'assurer la poursuite de l'activité le temps que tout rentre dans l'ordre. Tester régulièrement le PRA

136 Une fois que le PRA est en place, l'importance de faire des tests de manière régulière pour évaluer sa fiabilité est une étape importante. Il ne faut pas se dire simplement que l'on dispose d'une solution de sécurité et considérer acquise la reprise d'activité en cas de sinistre. Sans quoi... on ouvre la porte aux risques! Faire évoluer le PRA en fonction des changements apportés au système d'information Le PRA est réalisé à un moment précis pour répondre aux contraintes actuelles du parc informatique. Il faut donc que les procédures rédigées permettent d'inclure au Plan de Reprise d'activité les évolutions postérieures du système d'information. Un travail compliqué, qui demande de mettre en conformité les nouvelles applications avec le plan de relance déjà établi. Définitions des acronymes PCA PCI PCO PCA = PCS PRA PRI PSI PRU PSA PRN BIA Plan de Continuité d Activité / BCP : Business Continuity Plan Plan de Continuité Informatique Plan de Continuité Opérationnelle (Continuité ou reprise des opérations métiers) PCO+PCI Plan de Continuité de Services Plan de Reprise d Acitvité (Plan de Récupération Après Sinistre) ; DRP : Disaster Recovery Plan Plan de Reprise Informatique Plan de secours Informatique Plan de Reprise des Utilisateurs Plan de Sauvegarde de l Activité Plan de Retour à la Normale Bilan d Impact sur les Activités Le PCA s insère dans le cadre de la politique générale de Sécurité

137 Différence entre PCA et PRA Le Plan de Continuité d Activité permet, en cas de crise, de continuer l activité sans perte de service, ou avec une légère dégradation acceptable. Exemple : télétravail en cas de grèves, d épidémies, Le Plan de Reprise d Activité permet, en cas de crise majeure ou sinistre, de pouvoir reconstruire ou de basculer sur un système de relève sur une durée déterminée qui fournira les services nécessaires à la survie de l entreprise. Il est souvent lié à un risque défini de perte de données (RPO) et durée d interruption accepatble (RTO). Exemple : basculement d un Datacenter sur un site de secours en cas d incendie

138 Notre PCA Le plan de continuité d activité est un document que nous allons définir ci-dessous et qui servira à savoir exactement ce que nous sommes capables de mettre en place et en combien de temps, dans le cas d une panne ou problème technique. Il existe plusieurs méthodes pour assurer la continuité de service d'un système d'information. Certaines sont techniques (protection des accès et sauvegarde des données), d'autres reposent sur le comportement des utilisateurs (extinction des pc après usage, respect des mesures de sécurité), sur des règles et connaissances collectives (protection incendie, sécurité d'accès aux locaux) et de plus en plus sur des conventions passées avec des prestataires (copie des programmes, mise à disposition de matériel de secours). Evaluation des risques -Les risques actuellement encourus reposent essentiellement sur des pannes de type réseau. En effet notre infrastructure s articule et s appuie sur la fiabilité du matériel et du réseau. Néanmoins nous sommes conscients que la qualité des Switchs, serveurs et autres Workstation Sélectionnés ne fait en aucun gage de sauvegarde ou autre plan de continuité. -Le parc étant refait à neuf, le risque matériel est relativement faible. Ceci étant, pour la partie matérielle, nous aurons toujours au moins 1 machine de spare. Cela concerne autant les stations utilisateurs que les Switchs ou encore les serveurs. -Les utilisateurs n auront que peu de droits sur leurs machines en dehors des applications qui doivent être utilisées, le risque humain est donc fortement réduit, même s il n est pas nul. La possibilité de brancher une clé USB ne leur sera pas offerte et contribuera donc encore une fois à la réduction des risques. En cas d une attaque par le réseau, il est nécessaire que les postes ne soient pas vulnérables et soient dans des espaces cloisonnés afin d éviter la propagation de l attaque, pour parer cela nous mettons en place des Vlan différents pour chaque services. Les solutions de reprise -L assurance J+1 (jusqu à 3 ans sur les clients légers) nous permet d intervenir rapidement en cas de panne du matériel et étant donné que nous disposons d un matériel de rechange, nous n immobilisons notre production que le temps de remplacer le matériel. -Nous avons également décidé de garder certaines des anciennes machines du parc afin de s en servir de client léger de secours en cas de panne. Cela pourra servir de transition entre la panne et l intervention J+1 sur le poste, ce qui permettra à l utilisateur de n être pas impacté pour le reste de sa journée.ou encore utilisé pour des formations utilisateurs. Il est convenu de garder 10 postes, les plus récents. -Si nos serveurs venaient à rencontrer pour une quelconque raison un souci, nous mettons en place une réplication entre nos serveurs Hyper V afin de ne perdre aucun données et surtout que les utilisateurs ne soient pas perturbés par ces changements. Pour plus de sécurité et dans un esprit de consolider des bases déjà solides, nous doublerons les liaisons inter switch ainsi qu entre les hyperviseurs. De sorte à ce que la banque de données soit toujours accessible soit par l un soit par l autre et donc que les opérations soient tout à fait transparentes pour les utilisateurs

139 Les machines à garder Nous avons choisi en fonction de la vétusté du matériel et de sa puissance. Même si il n est pas nécessaire d avoir une grande puissance pour un client léger nous privilégions un matériel moins susceptible de rencontrer des soucis. Voici la liste des machines que nous conserverons en spare : -Toutes les machines du service Comptabilité, soit 5 Machines - 5 Celeron 2.2Ghz, 75Go HDD,256Mo RAM) -Egalement les machines des Bureaux, soit 3 machines - 1 Celeron 2.2Ghz, 75 Go HDD, 256Mo RAM - 2 Pentium 4 2.4Ghz, 75 Go HDD, 256Mo RAM -Pour terminer, nous récupérons 2 machines au service Administratif - 2 P4 1.7Ghz, 40Go HDD, 256Mo RAM Nous pouvons également récupérer des barrettes de 256Mo afin d assurer un minimum de 512Mo de RAM par machine. En effet lors d éventuelles manipulations à partir de cd live les 256Mo de RAM pourraient présenter une insuffisance. Notre PRA RPO et RTO RPO (Recovery Point Objective) : - Durée maximum d enregistrement des données qu il est acceptable de perdre (=perte de données maximum admissible) lors d une interruption majeure de service. - Quantifier le RPO = définir les objectifs de sauvegarde (implique de connaître la volumétrie et les fenêtres de sauvegarde) RTO (Recovery Time Objective) : - Durée maximale d interruption acceptable pendant lequel une ressource informatique (serveur, réseau, application) peut ne pas être opérationnelle suite à une interruption majeure de service. - Objectif défini à l avance en fonction des besoins de l entreprise - Plus la ressource est critique plus le RTO est faible

140 Réplication Hyper-V Machines virtuelles et PRA quelles options? Copie des fichiers (configuration, disques virtuels) Sauvegardes Réplication synchrone -> Geocluster Réplication asynchrone -> Hyper-V Replica Synchrone ou asynchrone? Avant toute chose il faut préciser que, contrairement aux techniques traditionnelles de sauvegarde (backup), la réplication permet au système informatique de continuer à fonctionner alors même que la base est répliquée. Vient ensuite la distinction entre "synchrone" et "asynchrone". Une réplication synchrone signifie que, comme pour notre banque internationale, la copie des informations se fait en temps réel. En d'autres termes, elle a lieu au niveau de l'application elle-même. Ce sont les transactions en tant que telles qui sont diffusées auprès de systèmes distribués, d'un serveur primaire (ou master) vers un ou plusieurs serveurs secondaires. Cela implique que chaque transaction soit dupliquée avant que toute autre transaction soit enregistrée, ce qui peut engendrer des délais de réponse en cas d'éloignement des serveurs. L'autre type de réplication, asynchrone, se fait en décalé et concerne le stockage à proprement parler des données : c'est toute la base de données qui est copiée d'un endroit à un autre. Géo cluster En effet Hyper-v grâce à la couche Cluster de Microsoft permet de faire de la reprise automatique d activité de machine virtuelle en cas de panne

141 Qui dit reprise d activité en cas de panne d un serveur dit espace de stockage partagé! Nous allons donc pouvoir utiliser le SAN et connecter cet espace de stockage à nos serveurs Hyper-V. L attachement est de type Fiber Channel. Réplication synchrone en temps réel o Recovery Point objective = 0 perte de données o Recovery Time Objective = 1 seconde Sauvegarde des données Dans le cas de la sauvegarde des données. Il s agit d une synchronisation asynchrone. Dans le cas où on aurait besoin de remonter les sauvegardes stockées à l extérieur du site, il s agirait surement d un sinistre vraiment très grave qui aurait rendu indisponible les deux serveurs et les deux SAN situés sur deux bâtiments différents du site d H@H. Le RPO et le RTO sont ici bien plus élevé

142 Le RPO maximum est donc ici de 5 Jours. Le RTO est estimé à 3 Jours. Les 3 jours sont estimés nécessaires afin de pouvoir remonter les sauvegardes sur des nouveaux serveurs et sur un nouveau stockage partagé. Les clefs d une bonne sauvegarde Sauvegarde Une stratégie de sauvegarde s établit sur plusieurs points : La périodicité (journalière, hebdomadaire, mensuelle). Le roulement (idéalement effectuer la sauvegarde sur plusieurs supports). La notification (chaque sauvegarde, information ou alerte doit faire l objet d un compte-rendu à l utilisateur). La délocalisation (la dernière sauvegarde complète et réussie doit être entreposée dans un endroit sécurisé et éloigné de celui où elle a été créée). Mettre en place des processus humains de contrôle, pour régulièrement vérifier que les données sauvegardées sont exploitables. Détermination de la méthode L'étape suivante consiste à déterminer la meilleure méthode pour la sauvegarde de vos données. Les systèmes de sauvegarde offrent pour la plupart une grande variété d'options. Les plus courantes sont les suivantes : complète : cette méthode transfère sur le disque une copie de toutes les données concernées par la sauvegarde, indépendamment de la modification des données depuis l'exécution de la précédente sauvegarde ; différentielle : cette méthode sauvegarde tous les fichiers modifiés depuis la précédente sauvegarde complète, indépendamment de leur modification depuis la dernière opération de sauvegarde, quel que soit son type ; incrémentale : ici, se verront transférer sur disque les seuls fichiers modifiés depuis la dernière opération de sauvegarde, quel que soit son type (complète, différentielle ou incrémentale)

143 La méthode choisie dépendra essentiellement de la capacité des disques et des besoins en restauration, très rapide ou non. Par exemple, en effectuant quotidiennement une sauvegarde complète, vous aurez besoin d'une capacité très élevée sur le disque, mais seul le dernier disque de sauvegarde sera nécessaire pour restaurer toutes vos données. Inversement, en effectuant une sauvegarde complète une fois par semaine avec une sauvegarde incrémentale quotidienne, vous aurez besoin de beaucoup moins d'espace sur disque, mais les opérations de récupération nécessiteront de réaliser sur les serveurs la restauration de la dernière sauvegarde complète et de chaque sauvegarde incrémentale. De nombreuses entreprises utilisent une combinaison de méthodes leur permettant d'économiser l'espace sur disque, tout en autorisant cependant une restauration rapide des données. La règle est généralement d'effectuer des sauvegardes hebdomadaires complètes et des sauvegardes journalières incrémentales. Permutation des disques Vous devrez ensuite développer un plan de permutation des disques et déterminer l'endroit où les stocker. Malheureusement, les entreprises entreposent pour la plupart les supports de sauvegarde à environ un mètre des serveurs à protéger. Comme nous l'ont montré les sinistres physiques récents, ce n'est pas une méthode de premier choix pour protéger les données, car les bandes ou les disques risquent fort d'être détruites avec les serveurs en cas d'incendie, par exemple. Les supports doivent être entreposés hors site, dans un endroit sûr où l'on peut les récupérer rapidement en cas de besoin. Un plan adroit de permutation des disques est essentiel pour réduire les coûts du support et du stockage hors site. En réutilisant les disques après une période déterminée, les plans de permutation des disques garantissent le stockage hors site d'un nombre minimal de disques Les schémas de permutation existent en diverses sortes et complexités. Le schéma de permutation peut-être le plus courant est le cycle Grand-père/Père/Fils, utilisé depuis longtemps et qui s'est révélé efficace. Dans la version d'origine de ce schéma, on effectue les sauvegardes complètes à deux intervalles différents. Le premier est mensuel et on entrepose immédiatement le support hors site (grand-père). On effectue également des sauvegardes hebdomadaires complètes (père) et on les conserve généralement sur site pendant la semaine de leur utilisation, puis on les place hors site pendant un nombre prédéterminé de cycles hebdomadaires (deux ou trois cycles suffisent généralement). Les sauvegardes incrémentales journalières (fils) s'effectuent et se conservent également sur site pendant la semaine de leur usage, puis on les place hors site avec la sauvegarde hebdomadaire correspondante selon le même calendrier cyclique. À la fin d'un cycle pour un jeu de diques, celles-ci peuvent être réutilisées. On conserve chaque disque mensuel pendant 12 mois avant de la réutiliser. Voici le système de stockage prévu pour les disques contenant les sauvegardes complètes mensuelles :

144 Voici maintenant comment on procèdera pour les sauvegardes hebdomadaires :

145 On conserve généralement les jeux de disques hebdomadaires pendant environ trois semaines après leur départ de la salle du serveur (soit pendant quatre semaines), puis on les réutilise. Les schémas de permutation Grand-père-Père-Fils permettent d'entreposer immédiatement les sauvegardes mensuelles et hebdomadaires en un endroit sûr, tandis que l'on conserve la plupart des sauvegardes incrémentales journalières pour réaliser sur le champ une restauration. On les stocke ensuite hors site en cas de panne. Si ce système présente des limites (vous pouvez perdre une semaine de données en cas d'incendie ou autre catastrophe), il procure la sécurité la plus élevée au coût le plus bas. Planification des sauvegardes Logiciel de sauvegarde

146 Afin d effectuer nos sauvegardes nous avons besoin d un logiciel. Ceci va nous permettre entre autres de programmer des tâches de sauvegardes. Voici quelques avantages : - Restauration instantanée des VM : restauration d une machine complète à partir d une sauvegarde en quelques minutes. - Gestion centralisée - Restauration granulaire pour pouvoir restaurer un fichier au lieu de restaurer tout le serveur - Sauvegarde sans agent des machines virtuelles : Sauvegarde directement à partir du SAN, du LAN ou de la pile d E/S de l hyperviseur. - Navigation : Parcourez vos VM s et vos fichiers d hôtes dans une interface familière de type Explorer - Copie entre hôtes : Copiez vos VM s et templates entre datacenter - Copie entre un hôte et Windows/Linux : fournissez des fichiers ISO aux hôtes L avantage principal de Veeam backup est le fait qu il fournisse une version gratuite pour les entreprises ne nécessitant pas la version complète. Dans notre cas nous n estimons pas avoir le besoin d acheter la version complète. Vous pouvez trouver le comparatif entre la version gratuite et complète ici! A savoir que la version complète a un cout entre 620 et 1600 (standard = 620 ; Enterprise = 1000 ; Enterprise plus = 1600 ). Liaisons intersites Travaux câblage Afin de relier les bâtiments entre eux et fournir un accès internet aux différents bâtiments, une liaison fibre sera posée entre les bâtiments. Une connexion fibre présente de nombreux avantages : Pas d interférences donc pas d atténuation du débit Evolution du débit facile et rapide (changement des embouts), inutile de creuser là où la fibre est enterrée (assez couteux) Réseau optimisé pour les 10 prochaines années minimum

147 Nous utiliserons de la fibre multimode : ce type de fibre peut atteindre un débit de 1Gbit/s et est surtout utilisé lors de distances de l ordre de la centaine de mètres (nos distances ne dépassent pas les 80 mètres de câble). Pour pouvoir obtenir un devis chez nos prestataires (électricité et maçonnerie), il était nécessaire d établir un plan pour le passage de la fibre, que nous avons optimisé au mieux pour réduire les co uts. Ainsi pour réduire les couts nous avons préféré enterrer la fibre au détriment de la distance sous un sol non bétonné. Nous avons demandé aux entreprises de prendre en compte les différentes normes applicables au passage souterrain de câble à fibre optique, telle que la profondeur et les matériaux nécessaires. La profondeur minimale des tranchées est définie par la norme NF P relative aux réseaux enfouis

148 Légende : = Routeur ; = Switchs = Passage de la fibre avec distance en mètres Topologies réseaux Une topologie de réseau est en informatique une définition de l'architecture d'un réseau. Définissant les connexions entre ces postes et une hiérarchie éventuelle entre eux, elle peut avoir des implications sur la disposition géographique des différents postes informatiques du réseau. Les architectures suivantes sont ou ont effectivement été utilisées dans des réseaux informatiques grand public ou d'entreprise. La topologie d'un réseau correspond à son architecture physique. En ce sens où leur structure détermine leur type. Il existe 2 modes de propagation classant ces topologies : Mode de diffusion (par exemple topologie en bus ou en anneau) Ce mode de fonctionnement consiste à n'utiliser qu'un seul support de transmission. Le principe est que le message est envoyé sur le réseau, ainsi toute unité réseau est capable de voir le message et d'analyser selon l'adresse du destinataire si le message lui est destiné ou non. Mode point à point (par exemple topologie en étoile ou maillée) Dans ce mode, le support physique ne relie qu'une paire d'unités seulement. Pour que deux unités réseaux communiquent, elles passent obligatoirement par un intermédiaire (le nœud). Topologie en étoile Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel central appelé concentrateur (en anglais hub, littéralement moyen de roue). Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la communication entre les différentes jonctions

149 Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en étoile sont beaucoup moins vulnérables car une des connexions peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce réseau est le concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est possible. Avantages de la topologie en étoile : En raison de son caractère centralisé, la topologie offre une simplicité de fonctionnement. Il réalise également un isolement de chaque périphérique du réseau. Inconvénient de topologie en étoile Le fonctionnement du réseau dépend du fonctionnement de la plate-forme centrale. Par conséquent, l'échec de la plate-forme centrale conduit à l'échec de l'ensemble du réseau. Topologie Hiérarchique Aussi connu sous le nom de réseau en arbre, il est divisé en niveaux. Le sommet, de haut niveau, est connectée à plusieurs nœuds de niveau inférieur, dans la hiérarchie. Ces nœuds peuvent être eux-mêmes connectés à plusieurs nœuds de niveau inférieur. Le tout dessine alors un arbre, ou une arborescence. Le point faible de ce type de topologie réside dans l'ordinateur "père" de la hiérarchie qui, s'il tombe en panne, paralyse alors la moitié du réseau. La topologie hiérarchique est idéale pour les projets partants de zéro, où l entreprise cliente ayant décidé que sa vitesse d évolution justifiait un gros budget et une transformation complète de son réseau. Ce modèle hiérarchique est une référence, il est très utilisé. Plus généralement nommé par sa version anglaise, «tree-layers hierarchical internetworking design/model», ce modèle a été inventé et diffusé par Cisco. Le principe est simple : créer un design réseau structuré en trois couches (layers), chacune ayant un rôle précis impliquant des différences de matériel, performances et outils

150 Ces trois couches sont : - la couche cœur, «Core layer» - la couche distribution, «Distribution layer». - la couche accès, «Access layer». Avantages de la topologie hiérarchique : Évolutivité : o Réseaux hiérarchiques échelle très bien. o La modularité vous permet de reproduire des éléments de conception. o L'expansion est facile à planifier et à mettre en œuvre. Redondance : o Disponibilité augmente considérablement avec les réseaux hiérarchiques. o EX : 1 commutateur Access Layer connecté à 2 commutateurs Distribution Layer. Si un commutateur Distribution Layer tombe en panne, le commutateur Access Layer passe par l'autre commutateur Distribution Layer. Performance : o Il s agit d un modèle très performant du à ses multiples connexions. Gestion : o Les changements peuvent être répétés sur tous les appareils dans une couche. o Le déploiement de nouveaux commutateurs est simplifié, car les configurations peuvent être copiées très facilement. o La cohérence au sein de chaque couche simplifie le dépannage. Maintenabilité : o En raison de leur modularité et l'évolutivité, les réseaux hiérarchiques sont faciles à entretenir. o Cela signifie également ces réseaux sont moins chers. Avec d'autres modèles, la gestion devient de plus en plus compliquée dès que le réseau se développe et cela coute de l argent à l entreprise. Inconvénient de topologie hiérarchique : Si le switch du plus haut niveau est défaillant, alors les sous réseaux seront coupés. Une solution de secours est nécessaire. Topologie choisie La société Home-at-Home nous avait soumis le besoin d avoir un réseau avec une fiabilité proche de 100%. Elle nous a également indiqué qu elle serait à investir un peu plus si cela en valait la peine en termes de fiabilité. Après une étude menée en interne, nous avons choisi la topologie Hiérarchique. EYE-TECH est convaincu que c est l idéal pour assurer un plan de continuité complet avec une fiabilité accrue

151 Fort de notre expérience dans ce domaine, nous avons pu dresser un tableau comparant les différentes topologies. Ce tableau vous montre le rapport entre le cout d installation et le risque de panne. Nous avons attribués des notes de 0 à étant le plus cher dans la ligne «estimation cout» et étant la plus risquée dans «risque de panne» Rapport Cout / Risque de panne Bus Anneau Etoile Hierarchique Risque de panne Estimation Cout Fournisseur d Accès Internet En ce qui concerne la ligne internet nous demandons à la société H@H d établir un nouveau contrat avec le Fournisseur d accès internet actuel (Orange Business). Nous nous sommes renseignés afin de vous éviter de perdre du temps. Voici les informations concernant le nouveau contrat. Vous avez le choix entre deux formules. Nous vous suggérons de choisir la deuxième mais nous vous laissons libre choix

152 ORANGE Business Internet Premier 10M avec 16 adresses IP publiques Fibre Vitesse Débit Garanti Prix Mensuel Prix Annuel Engagement Frais d'installation G T R S Total Année +1 Année +2 Total 3ans 10 Mbits/s 95% du temps 2060, ,2 4 1 an 6098 O U I 32104, , , , Mbits/s 100% du temps 1854, ,6 4 3 ans 6098 O U I 29632, , , , 48 FIBRE OPTIQUE : Les liaisons Fibre Optique vous apportent : Un débit symétrique : le débit montant (upload) est égal au débit descendant (download). Les débits Fibre optique commence à 10Mbit/s, jusqu'à plusieurs Gigabit symétrique et garantis! Un trafic à la vitesse de la lumière : jusqu'à 200 fois plus rapide qu'une connexion cuivre avec une perte de paquet presque nul et un délai de latence amélioré en partie grâce aux infrastructures robustes garantissant une haute disponibilité. Un débit garanti sur le trafic entrant et sortant : disponible de 95% à 100% du temps. La Fibre optique est donc particulièrement adaptée pour vos applications critiques (VOIP, TSE, VPN ), ou vos transferts de données (vidéo, image, son ) Une garantie de rétablissement de 4H en cas de panne (GTR) avec la possibilité d'étendre cette GTR 7j/7 24h/24. Vos avantages en migrant vos réseaux vers la fibre optique et vers le très haut-débit : Plus souple que le cuivre: si vous souhaitez upgrader votre liaison, il n'y a pas besoin de changer d'infrastructure réseau, seul le montant de votre abonnement évolue. Pas de limite de débit, dans le futur la fibre optique pourra atteindre plusieurs centaine de Gigabit/s voir même le Térabit/s Les fibres sont disponibles pour vos applications réseau national ou international : nous vous proposons des fibres longue distance (exemple : France entière, France -Pologne ) Les contraintes d'un déploiement en fibre optique :

153 Le réseau Fibre optique en France est en cours de déploiement, il ne couvre donc pas l'intégralité du territoire. Il arrive que des communes ne puissent être raccordées à la fibre pour cette raison. Le raccordement à la fibre optique entraine des travaux de génie civil parfois importants, ce qui peut engendrer des frais de mise en service (FMS) relativement élevés. Avec les offres télécoms proposées, les FMS sont le plus souvent forfaitisés. (ils peuvent atteindre au maximum 6500 sur un engagement court et être proche de zéro sur un engagement long). Dans notre cas ils sont de Les délais de mise en place sont légèrement en hausse par rapport aux autres travaux effectués, allant de 10 à 20 semaines en règle générale Inventaire Afin d avoir une maitrise complète du parc, nous avons dressé un inventaire qui pourra être réutilisé pour l importation de données dans notre outil de gestion de parc informatique. Vous trouverez en Annexes l inventaire complet du parc informatique de Hom@Home Recyclage du matériel informatique Soucieux de la préservation de notre habitat naturel, EYE-TECH s engage à mener une politique de recyclage efficace, définie et responsable. L énergie consommée pour la production des divers matériels informatiques que nous utilisons peut être reproduite en recyclant nos déchets de façon à ce qu ils soient soit réutilisés, soit transformés. Il est important pour toute entreprise, outre de réguler sa consommation énergétique, d approuver une solution permettant un traitement efficace des déchets. Extrait de loi : «Toute personne qui produit ou détient des déchets, dans des conditions de nature à produire des effets nocifs sur le sol, la flore et la faune, à dégrader les sites ou les paysages, à polluer l'air ou les eaux, à engendrer des bruits et des odeurs et d'une façon générale à porter atteinte à la santé de l'homme et à l'environnement, est

154 tenue d'en assurer ou d'en faire assurer l'élimination conformément aux dispositions de la présente loi, dans des conditions propres à éviter lesdits effets. L'élimination des déchets comporte les opérations de collecte, transport, stockage, tri et traitement nécessaires à la récupération des éléments et matériaux réutilisables ou de l'énergie, ainsi qu'au dépôt ou au rejet dans le milieu naturel de tous autres produits dans des conditions propres à éviter les nuisances mentionnées à l'alinéa précédent.» LOI n du 15 juillet 1975 (Art.2) «Ces dispositions ont été précisées notamment par les lois et décrets suivants: la loi du 19 juillet 1976 relative aux installations classées pour la protection de l'environnement le décret du 19 août 1977 qui oblige à l'établissement d'une déclaration précisant les modalités d'élimination de substances dangereuses la loi du 13 juillet 1992 qui interdit toute mise en décharge et limite l'enfouissement aux seuls déchets ultimes*.» «Depuis le 1er juillet 2002, conformément aux objectifs définis par l article L du Code de l environnement, les installations de stockage de déchets ne doivent admettre que des«déchets ultimes», c est-à-dire des déchets n étant plus susceptibles d être traités dans les conditions techniques et économiques du moment pour en extraire la part valorisable ou pour en diminuer le caractère polluant ou dangereux (Art. L du Code de l environnement).» L entreprise H&H n a pas émis de choix concernant sa volonté d être ou non membre et partenaire d un écolabel. Nous avons donc insisté sur l importance de se mettre en relation avec le service de traitement des déchets de la ville d Aubagne, afin que les déchets accumulés par la modification de l infrastructure puissent être recyclés. De nombreux anciens équipements seront néanmoins conservés afin de les réutiliser dans un cadre bien spécifique, n encouragent ainsi pas la consommation inutile. Nous sommes donc rentrés en contact avec Mme. Simonin, responsable du service de traitement des déchets de la ville, qui nous indique pouvoir dépêcher un camion de traitement de déchets dès lors que les travaux seront terminés sous 7 jours ouvrable suivant la demande. Il s agit là d un service public adressé aux entreprises. Afin de faciliter le travail des ouvriers et de favoriser la démarche écologique, nous organiserons les différents déchets dans le Magasin

155 Selon le Décret n du 20 juillet 2005 relatif à la composition des équipements électriques et électroniques et à l'élimination des déchets issus de ces équipements ; le «pollueur» est responsable de ses propres déchets, y compris une fois que les déchets ont été confiés à un prestataire chargé de les traiter. Par conséquent le choix de s orienter vers un service public, présente un intérêt d ordre public également. Nous avons donc la responsabilité des traitements de nos déchets, et devrons aménager un espace de stockage des déchets afin de permettre aux services de la Mairie d intervenir sur la récupération et le traitement de ceux-ci. Madame Simonin, nous a également fait part du fait que les ouvriers passeraient une fois par semaine afin de récolter les déchets. L espace de stockage de traitements des déchets est une proposition de notre entreprise elle n est pas obligatoire, mais cela favorise la démarche écologique et citoyenne. Toujours dans la même démarche de recherche écologique, nous avons choisi du matériel majoritairement homologué Energie Star, écolabel, marque d une consommation électrique maitrisée. En effet, nos dispositifs doivent permettre un fonctionnement continu. Et sont par conséquent de gros consommateurs d énergie. Les différents équipements labélisés Energie Star sont étudiés et développés avec l intention ferme de réduire les consommations électrique abusives et inutiles

156 6. Cahier de charges fonctionnel Meylan (38), le 04 Décembre 2013 Objet : A l attention de Mr. Harpian, et Mr. Vanga. Madame, Monsieur, Lors de nos divers rendez-vous, nous avons procédé à une analyse fonctionnelle du besoin et nous avons ainsi ciblé divers besoins en termes de maintenances, d administration, de formation et d installation de votre entreprise. Durant nos discussions, nous avons repris point par point votre cahier des charges et votre appel d offre. Cela nous a ainsi permis d élaborer une liste des différents besoins que la mise à niveau, la mise en conformité et l optimisation autant que possible des ressources matérielles que humaine, vont demander comme modification auprès de votre infrastructure actuelle. Nous avons ainsi défini des axes de travail, et des axes de questions, lesquels, pour y répondre, nous vous solliciterons. Ainsi, vous trouverez en seconde page, le cahier des charges fonctionnel (reposant sur la norme NF EN du 16 février 2013) que nous avons établie pour répondre aux besoins des changements de votre infrastructure. Dans l attente de notre prochaine réunion, je vous prie d accepter, nos salutations les plus cordiales

157 Présentation générale Objectif : Le but du projet dont H@H exprime le besoin consiste en : Proposer et mettre en œuvre une nouvelle architecture permettant : Une optimisation des postes de travail, Une continuité de service du serveur et du réseau, L intégration du service de préparation de commandes dans le réseau d entreprise, La mise en place de toutes les garanties en termes de sécurité car les données manipulées sont de nature stratégique et confidentielle. Définir un système de maintenance qui : Outre les aspects techniques, devra assurer l assistance utilisateur nécessaire à l exploitation des divers outils informatiques. Proposera la mise en relation avec un interlocuteur unique chargé de suivre le plan de maintenance réseau, système et applicatif. Devra fournir toutes les garanties en terme de compétences, de disponibilités et de suivis des diverses problématiques énoncées. Devra comporter des procédures claires et efficaces afin de faciliter les interventions, la maintenance préventive et curative. H@H a également exprimé le besoin d avoir un retour sur investissement étalé sur 5 ans. Contexte actuel : Le 04 Novembre 2013 la société Home at Home a lancé un appel d offre. EYE-TECH a décidé de répondre à ce dernier. Depuis, plusieurs réunions servant à établir un cahier des charges fonctionnel ont été faites. Lors de ces réunions la société H@H était représentée par Mr Harpian pour le côté financier et administratif et par Mr Wanga pour le côté technique. Aujourd hui 04 Décembre 2013 à 10h30, l équipe EYE-TECH a rencontré la société H@H afin de finaliser le cahier des charges fonctionnel

158 Natures des prestations demandées Voici la liste des prestations demandées : Audit de l infrastructure actuelle Conseil en structure fonctionnelle et technique selon le besoin et l état actuel Mise en place des solutions techniques Délégation de compétences par le biais de formations Support expert s appuyant sur le contrat de maintenance Environnement La société H@H met à disposition, afin de mener à bien la phase de l audit et de l implémentation, plusieurs éléments : Mr Vanga sera à disposition d EYE-TECH pour toute question concernant la structure technique Mr Harpian sera votre contact pour toute question sur les modalités financières, la structure de l entreprise, délais de réalisation et disponibilités pour la mise en place des travaux neufs. La société EYE-TECH dispose d accès total aux locaux de la société H@H Nous pouvons intervenir sans problème entre 18h et 7h, si besoin nous pouvons intervenir pendant les heures travaillées mais ceci devra rester exceptionnel

159 Définition des maîtres de projet : Expression fonctionnelle du besoin No Nature Critère d appréciation Poste Client FP1 Harmonisation logicielle - Système d exploitation optimal - Framework optimal - Liste exacte des logiciels FP2 Optimisation matérielle - Définir la liste des besoins en termes de matériels Partie Réseau Stabilité système du Niveau Baisse de tickets Puissance adaptée Pas de ralentissements FP3 Réseau optimisé Fiabilité Plus de coupures réseaux Flexibilité F0 F0 F

160 - Définir un plan d adressage réseau exacte - Définir un matériel, fiable et adéquat à l entreprise FP4 Contrat FAI mis à jour Débit & stabilité Débit suffisant, pas de ralentissement Liaisons intersites FP5 FC1 Serveurs FP6 FP7 Définition liaison intersites - Définir le type de liaison nécessaire entre les bâtiments - Proposer un devis pour les travaux à effectuer Planning des travaux - Etablir un planning exact des travaux à effectuer Architecture et droits - Définir une architecture de droits et d organisation des différents services - Définir des lois qui régissent les droits et interdictions de groupes d utilisateurs Définition de politiques - politique de service mail claire - politique de stockage claire - politique de maintenance des mises à jour - politique d entrée/sortie réseau - politique de sécurité anti-virus claire Continuité de service FP8 FC2 Impression FP10 Helpdesk - Définir un outil de gestion de helpdesk Supervision - Définir un outil de supervision des équipements, remontant des alertes Politique d impression - Définir une politique de location claire Fiabilité Pas de coupures réseaux, plan de secours F1 F0 Délai Délai respecté F1 Droits utilisateurs Documents & mise en place Visuel Visuel Droits d accès aux fichiers définis Politiques écrites et mises en place afin d être respectées Possibilité d ouvrir des tickets, gestion de parc centralisée Service informatique alerté en cas de problème Gestion Gestion simplifiée de l impression pour Mr Vanga F0 F0 F1 F1 F

161 - Définir une politique d implantation claire - Définir une politique de renouvellement des consommables Plan de Reprise d Activité FP11 Sécurité FP12 FC3 Politique FP13 FP14 Définition du PRA Définir une assurance de reprise par nos services Définir une tolérance de panne Définir plan de sauvegarde clair Définition de plans de sécurité - Définir un plan de sécurité pour la partie Web - Définir un plan de sécurité pour l accès aux fichiers - Définir une politique de sécurité physique d accès aux ressources Audit de sécurité Planifier des audits de stabilité réseaux et systèmes Définir et livré un contrat de maintenance Définir une politique de gestion et de centralisation des garanties Continuité d activité Reprise en moins de 4h en cas de soucis Aucune perte de données datant de plus d 1 semaine Accès Pas d accès aux personnes non autorisées Documents Compte-rendu d audit fourni Documents Contrat de maintenance clair et signé par les deux parties Facilité Gestion centralisée afin de faciliter la gestion de garantie F0 F0 F1 F1 F2 No : FP : Fonction Principale ; FC : Fonction Complémentaire Niveau : Niveau dont l obtention est imposée (F0) ou niveau souhaité mais révisable (F1,F2) Flexibilité : F0 : Aucune ; F1 : Faible ; F2 : Moyenne Contraintes : Être et rester le seul interlocuteur de prestation Une seule solution pour les mails est demandée Le contrat doit être établi sur 3 années minimum

162 Les liaisons intersites doivent être enterrées Des formations aux utilisateurs doivent être misent en place. EYE-TECH doit former monsieur Vanga aux outils d administration mit en place. Les imprimantes doivent être sous contrat de locations. Des outils de supervisions et d analyses doivent être mit en œuvre. Une continuité de service serveur et réseau. Intégration du service de préparation de commandes dans le réseau d entreprise. La manipulation des données doit être garantie. Assurer l aspect maintenance auprès de l utilisateur. Devra fournir une garantie de compétence et disponibilité pour toutes maintenances. S adresser à Mr. Vanga comme interlocuteur privilégié. Après chaque rendez-vous, un compte rendu, ainsi qu un mini cahier des charges fonctionnel sera remis à la direction de H&H. Si des objets du cahier des charges ne peuvent être honorés à la date du prochain rendez-vous mensuel avec Mr. Harpian, les questions pour sa résolution lui devront être soumises. Un planning sera soumis chaque mois au DAF. EYE-TECH La vision de votre informatique

163 7. Maintenance Conformément aux précédentes explications, l intégralité de la maintenance sera prodiguée par l entreprise EYE-TECH. Sous réserve de correspondance avec la couverture du contrat de maintenance. EYE-TECH s engage à fournir tous les moyens à disposition en termes humains et matériel pour répondre aux besoins de maintenance du client couvert par notre contrat de maintenance. En effet, en cas de panne critique, l intervention de l équipe RED sera intégralement aux côtés du client. Pour le support quotidien, le client dispose d une correspondance continue avec notre support téléphonique, qui sera à disposition quotidienne. La maintenance par support sera organisée en fonction de ticket. Le client contactera notre support, celui-ci ouvre un ticket, et les équipes en back-front, sauf si le ticket peut être traité immédiatement, traiterons sous 2 heures le ticket. Au cas où l intervention serait plus longue que prévu ; le ticket passera sous-catégorie différentes montrant son délai, et une réponse technique, soit sous forme de production dégradée, soit sous forme de retour à production égale sera engagée sous 48h. Pour plus d information ou pour volonté de médication, le contrat de maintenance peut être réévalué tous les ans. 8. Annexes Préambule 8.1 Charte Informatique L entreprise H-&-H met en œuvre un système d information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique, ainsi que des outils mobiles. Les salariés, dans l exercice de leurs fonctions, sont conduits à utiliser les outils informatiques et téléphoniques mis à leur disposition et à accéder aux services de communication de l'entreprise. L utilisation du système d information et de communication doit se faire exclusivement à des fins professionnelles, sauf exception prévue dans la présente charte. Dans un but de transparence à l égard des utilisateurs, de promotion d une utilisation loyale, responsable et sécurisée du système d information et de communication, la présente charte pose les règles relatives à l utilisation de ces ressources. Elle définit aussi les moyens de contrôle et de surveillance de cette utilisation mise en place, non seulement pour la bonne exécution du contrat de travail des salariés, mais aussi dans le cadre de la responsabilité pénale et civile de l'employeur. Elle dispose d'un aspect réglementaire et est annexée au règlement intérieur de l'entreprise. Elle ne remplace en aucun cas les lois en vigueur que chacun est censé connaître

164 1. Champ d'application Utilisateurs concernés Sauf mention contraire, la présente charte s'applique à l'ensemble des utilisateurs du système d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salariés, intérimaires, stagiaires, employés de sociétés prestataires, visiteurs occasionnels. Elle sera annexée aux contrats de prestations. Les salariés veillent à faire accepter valablement les règles posées dans la présente charte à toutepersonne à laquelle ils permettraient d'accéder au système d'information et de communication. Système d'information et de communication Le système d'information et de communication de l'entreprise est notamment constitué des éléments suivants : ordinateurs (fixes ou portables), périphériques y compris clés USB, assistants personnels, réseau informatique (serveurs, routeurs et connectique), photocopieurs, télécopieurs, téléphones, smartphones, tablettes et clés 3G, logiciels, fichiers, données et bases de données, système de messagerie, connexion internet, intranet, extranet, abonnements à des services interactifs. Pour des raisons de sécurité du réseau, est également considéré comme faisant partie du système d'information et de communication le matériel personnel des salariés connecté au réseau de l'entreprise, ou contenant des informations à caractère professionnel concernant l'entreprise. Autres accords sur l'utilisation du système d'information La présente charte ne préjuge pas des accords particuliers pouvant porter sur l'utilisation du système d'information et de communication par les institutions représentatives, l'organisation d'élections par voie électronique ou la mise en télétravail de salariés. 2. Confidentialité Paramètres d'accès L'accès à certains éléments du système d'information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, le réseau, certaines applications ou services interactifs) est protégé par des paramètres de connexion (identifiant, mot de passe). Ces paramètres sont personnels à l'utilisateur et doivent être gardés confidentiels. Ils permettent en particulier de contrôler l'activité des utilisateurs. Toutefois, pour des raisons de sécurité et de persistance des données, ils doivent être communiqués à L'entreprise EYE-TECH Dans la mesure du possible, ces paramètres doivent être mémorisés par l'utilisateur et ne pas être conservés, sous quelque forme que ce soit. En tout état de cause, ils ne doivent pas être transmis à des tiers ou aisément accessibles. Ils doivent être saisis par l'utilisateur à chaque accès et ne pas être conservés en mémoire dans le système d'information

165 Lorsqu'ils sont choisis par l'utilisateur, les paramètres doivent respecter un certain degré de complexité et être modifiés régulièrement. Des consignes de sécurité sont élaborées par le service informatique du site afin de recommander les bonnes pratiques en la matière. Sauf demande formelle de direction, aucun utilisateur ne doit se servir pour accéder au système d'information de l'entreprise d'un autre compte que celui qui lui a été attribué. Il ne doit pas non plus déléguer à un tiers les droits d'utilisation qui lui sont attribués. Données Chaque utilisateur est responsable pour ce qui le concerne du respect du secret professionnel et de la confidentialité des informations qu'il est amené à détenir, consulter ou utiliser. Les règles de confidentialité ou d'autorisation préalable avant diffusion externe ou publication sont définies par la direction et applicables quel que soit le support de communication utilisé. L'utilisateur doit être particulièrement vigilant sur le risque de divulgation de ces informations dans le cadre d'utilisation d'outils informatiques, personnels ou appartenant à l'entreprise, dans des lieux autres que ceux de l'entreprise (hôtels, lieux publics...). 3. Sécurité Rôle de l'entreprise L'entreprise met en œuvre les moyens humains et techniques appropriés pour assurer la sécurité matérielle et logicielle du système d'information et de communication. À ce titre, il lui appartient de limiter les accès aux ressources sensibles et d'acquérir les droits de propriété intellectuelle ou d'obtenir les autorisations nécessaires à l'utilisation des ressources mises à disposition des utilisateurs. le service informatique du site est responsable de la mise en œuvre et du contrôle du bon fonctionnement du système d'information et de communication. Elle doit prévoir un plan de sécurité et de continuité du service, en particulier en cas de défaut matériel. Elle veille à l'application des règles de la présente charte. Elle est assujettie à une obligation de confidentialité sur les informations qu'elle est amenée à connaître. Responsabilité de l'utilisateur L'utilisateur est responsable quant à lui des ressources qui lui sont confiées dans le cadre de l'exercice de ses fonctions. Il doit concourir à la protection des dites ressources, en faisant preuve de prudence et de vigilance. En particulier, il doit signaler à le service informatique du site toute violation ou tentative de violation de l'intégrité de ces ressources, et, de manière générale tout dysfonctionnement, incident ou anomalie. Sauf autorisation expresse de la direction, l'accès au système d'information avec du matériel n'appartenant pas à l'entreprise (assistants personnels, supports amovibles...) est interdit. Dans le cas où il a été autorisé, il appartient à l utilisateur de veiller à la sécurité du matériel utilisé et à son innocuité. De même, la sortie de matériel appartenant à l'entreprise doit être justifiée par des obligations professionnelles et nécessite l'accord exprès de la direction

166 En cas d'absence, même temporaire, il est impératif que l'utilisateur verrouille l'accès au matériel qui lui est confié ou à son propre matériel, dès lors que celui-ci contient des informations à caractère professionnel. L'utilisateur doit effectuer des sauvegardes régulières des fichiers dont il dispose sur le matériel mis à sa disposition en suivant les procédures définies L'entreprise EYE-TECH. Il doit régulièrement supprimer les données devenues inutiles sur les espaces communs du réseau ; les données anciennes mais qu'il souhaite conserver doivent être archivées avec l'aide de L'entreprise EYE-TECH L'utilisateur doit éviter d'installer ou de supprimer des logiciels, de copier ou d'installer des fichiers susceptibles de créer des risques de sécurité au sein de l'entreprise. Il ne doit pas non plus modifier les paramétrages de son poste de travail ou des différents outils mis à sa disposition, ni contourner aucun des système de sécurité mis en oeuvre dans l'entreprise. Il doit dans tous les cas en alerter L'entreprise EYE-TECH L'utilisateur s'oblige en toutes circonstances à se conformer à la législation, qui protège notamment les droits de propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement automatisé de données, le droit à l'image des personnes, l'exposition des mineurs aux contenus préjudiciables. Il ne doit en aucun cas se livrer à une activité concurrente à celle de l'entreprise ou susceptible de lui causer un quelconque préjudice en utilisant le système d'information et de communication. 4. Internet Accès aux sites Dans le cadre de leur activité, les utilisateurs peuvent avoir accès à Internet. Pour des raisons de sécurité ou de déontologie, l'accès à certains sites peut être limité ou prohibé par le service informatique du site qui est habilitée à imposer des configurations du navigateur et à installer des mécanismes de filtrage limitant l'accès à certains sites. Seule la consultation de sites ayant un rapport avec l'activité professionnelle est autorisée. En particulier, l'utilisation de l'internet à des fins commerciales personnelles en vue de réaliser des gains financiers ou de soutenir des activités lucratives est strictement interdite. Il est aussi prohibé de créer ou mettre à jour au moyen de l'infrastructure de l'entreprise tout site Internet, notamment des pages personnelles. Bien sûr, il est interdit de se connecter à des sites Internet dont le contenu est contraire à l'ordre public, aux bonnes mœurs ou à l'image de marque de l'entreprise, ainsi qu'à ceux pouvant comporter un risque pour la sécurité du système d'information de l'entreprise ou engageant financièrement celle-ci. Autres utilisations La contribution des utilisateurs à des forums de discussion, systèmes de discussion instantanée, chats, blogs n'est autorisée qu'à titre professionnel et sur autorisation expresse de la hiérarchie qui devra en informer L'entreprise EYE-TECH

167 De même, tout téléchargement de fichier, en particulier de fichier média, est prohibé, sauf justification professionnelle dûment validée par la hiérarchie. Il est rappelé que les utilisateurs ne doivent en aucun cas se livrer sur Internet à une activité illicite ou portant atteinte aux intérêts de l'entreprise. Ils sont informés que le service informatique du site enregistre leur activité sur Internet et que ces traces pourront être exploitées à des fins de statistiques, contrôle et vérification dans les limites prévues par la loi, en particulier en cas de perte importante de bande passante sur le réseau de l'entreprise. 5. Messagerie électronique Chaque salarié dispose, pour l'exercice de son activité professionnelle, d'une adresse de messagerie électronique normalisée attribuée par L'entreprise EYE-TECH. La messagerie est accessible aussi bien à partir d'un logiciel de messagerie qu'à partir d'un navigateur Internet grâce à un Webmail. Les messages électroniques reçus sur la messagerie professionnelle font l'objet d'un contrôle antiviral et d'un filtrage anti-spam. Les salariés sont invités à informer le service informatique du site des dysfonctionnements qu'ils constateraient dans ce dispositif de filtrage. Conseils généraux L'attention des utilisateurs est attirée sur le fait qu'un message électronique a la même portée qu'un courrier postal : il obéit donc aux mêmes règles, en particulier en termes d'organisation hiérarchique. En cas de doute sur l'expéditeur compétent pour envoyer le message, il convient d'en référer à son supérieur. Un message électronique peut être communiqué très rapidement à des tiers et il convient de prendre garde au respect d'un certain nombre de principes, afin d'éviter les dysfonctionnements du système d'information, de limiter l'envoi de messages non sollicités et de ne pas engager la responsabilité civile ou pénale de l'entreprise et de l'utilisateur. Avant tout envoi, il est impératif de bien vérifier l'identité des destinataires du message et de leur qualité à recevoir communication des informations transmises. En présence d'informations à caractère confidentiel, ces vérifications doivent être renforcées ; en cas de besoin, un cryptage des messages pourra être aussi proposé par L'entreprise EYE-TECH En cas d'envoi à une pluralité de destinataires, l'utilisateur doit respecter les dispositions relatives à la lutte contre l'envoi en masse de courriers non sollicités. Il doit également envisager l'opportunité de dissimuler certains destinataires, en les mettant en copie cachée, pour ne pas communiquer leur adresse électronique à l'ensemble des destinataires. En cas d'envoi à une liste de diffusion, il est important d'en vérifier les modalités d'abonnement, de contrôler la liste des abonnés et de prévoir l'accessibilité aux archives. Le risque de retard, de non remise et de suppression automatique des messages électroniques doit être pris en considération pour l'envoi de correspondances importantes. Les messages importants doivent être envoyés avec un accusé de réception ou signés électroniquement. Ils doivent, le cas échéant, être doublés par un envoi de fax ou de courrier postal. Les utilisateurs doivent veiller au respect des lois et règlements, et notamment à la protection des droits de propriété intellectuelle et des droits des tiers. Les correspondances électroniques ne doivent pas comporter

168 d'éléments illicites, tels que des propos diffamatoires, injurieux, contrefaisants ou susceptibles de constituer des actes de concurrence déloyale ou parasitaire. La forme des messages professionnels doit respecter les règles définies par la direction, pour ce qui concerne la mise en forme et surtout la signature des messages. En cas d'absence supérieure à 3 jours, le salarié doit soit mettre en place un répondeur automatique, soit demander à le service informatique du site de le faire ou de rediriger ses messages sur un autre utilisateur. Limites techniques Pour des raisons techniques, l'envoi de messages électroniques n'est possible, directement, que vers un nombre limité de destinataires, fixé par L'entreprise EYE-TECH Cette limite est susceptible d'être levée temporairement ou définitivement sur demande adressée à L'entreprise EYE-TECH qui est aussi chargée de l'ouverture des listes de diffusion qui pourraient s'avérer nécessaires. De même, le service informatique du site peut limiter la taille, le nombre et le type des pièces jointes pour éviter l'engorgement du système de messagerie. Pour des raisons de capacité mémoire, les messages électroniques sont conservés sur le serveur de messagerie pendant une durée maximale d'un an. Passé ce délai, ils sont automatiquement supprimés. Si le salarié souhaite conserver des messages au-delà de ce délai, il lui appartient d'en faire des sauvegardes avec l'aide de le service informatique du site si nécessaire. Il est aussi tenu de supprimer lui-même dès que possible tous les messages inutiles. Utilisation personnelle de la messagerie Les messages à caractère personnel sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte. Les messages envoyés doivent être signalés par la mention "Privé" ou "Perso" dans leur objet et être classés dès l'envoi dans un dossier lui-même dénommé de la même façon. Les messages reçus doivent être également classés, dès réception, dans un dossier lui-même dénommé "Privé" ou "Perso". En cas de manquement à ces règles, les messages sont présumés être à caractère professionnel. Toutefois, les utilisateurs sont invités, dans la mesure du possible, à utiliser leur messagerie personnelle via un client en ligne pour l'envoi de messages à caractère personnel plutôt que la messagerie de l'entreprise. Utilisation de la messagerie par la délégation du personnel Afin d'éviter l'interception de tout message destiné à une institution représentative du personnel, les messages présentant une telle nature doivent être signalés et classés de la même manière que les messages à caractère personnel, mais en utilisant la mention "Délégué" dans leur objet à l'émission et dans le dossier où ils doivent être classés. 6. Données personnelles La loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, définit les conditions dans lesquelles des traitements de données personnels peuvent être opérés. Elle institue au profit des

169 personnes concernées par les traitements des droits que la présente invite à respecter, tant à l'égard des utilisateurs que des tiers. Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôle, prévus dans la présente charte. Ils sont, en tant que de besoin, déclarés conformément à la loi du 6 janvier Tout utilisateur pourra avoir accès aux données le concernant et ces données ne seront conservées que sur une période maximale de 1 an. Il est rappelé aux utilisateurs que les traitements de données à caractère personnel doivent être déclarés à la Commission nationale de l'informatique et des libertés, en vertu de la loi n du 6 janvier Les utilisateurs souhaitant réaliser, dans le cadre professionnel, des traitements relevant de ladite loi sont invités à prendre contact avec le service informatique du site avant d'y procéder. Document civil et commercial 8.2 Durée des archives Type de document Contrat ou convention conclu dans le cadre d'une relation commerciale Garantie pour les biens ou services fournis au consommateur Contrat conclu par voie électronique (à partir de 120 ) Tableaux fournis par Durée de Texte de référence conservation 5 ans art. L du code de commerce 2 ans art. L du code de la consommation 10 ans à partir de la art. L du code de la livraison ou de la consommation prestation 30 ans art du code civil Contrat d'acquisition ou de cession de biens immobiliers et fonciers Correspondance commerciale 5 ans art. L du code de commerce Document bancaire (talon de 5 ans art. L du code de chèque, relevé bancaire...) commerce Document de transport de 5 ans art. L du code de marchandises commerce Déclaration en douane 3 ans art. 16 du règlement européen n 2913/92 du Conseil du 12 octobre 1992 Police d'assurance Document relatif à la propriété intellectuelle (dépôt de brevet, marque, dessin et modèle) Dossier d'un avocat 2 ans à partir de la résiliation du contrat 5 ans à partir de la fin de la protection 5 ans à partir de la fin du mandat art. L du code des assurances art du code civil art du code civil

170 Pièce comptable Type de document Durée de conservation Texte de référence Livre et registre comptable : livre journal, grand livre, livre d'inventaire ans à partir de la clôture de l'exercice art. L du code de commerce Pièce justificative : bon de commande, de livraison ou de réception, facture client et fournisseur ans à partir de la clôture de l'exercice art. L du code de commerce Document fiscal Type d'impôt Durée de conservation Texte de référence 3 ans à partir de l'année d'imposition art. L.169 du (par ex., les éléments concernant les livre des revenus de 2012, déclarés en 2013, procédures doivent être conservés jusqu'à la fin fiscales 2015) Impôt sur le revenu et sur les sociétés Bénéfices industriels et commerciaux (BIC), bénéfices non commerciaux (BNC) et bénéfices agricoles (BA) en régime réel Impôts sur les sociétés pour l' EIRL, des sociétés à responsabilité limitée (exploitations agricoles, sociétés d'exercice libéral) Impôts directs locaux (taxes foncières, contribution à l'audiovisuel public) Cotisation foncière des entreprises (CFE) et CVAE Taxes sur le chiffre d'affaires ( TVA et taxes assimilées, impôt sur les spectacles, taxe sur les conventions d'assurance...) 2 ans à partir de l'année d'imposition (par ex., les éléments concernant les revenus de 2012, déclarés en 2013, doivent être conservés jusqu'à la fin 2014) 2 ans à partir de l'année d'imposition (par ex., les éléments concernant les revenus de 2012, déclarés en 2013, doivent être conservés jusqu'à la fin 2014) 1 an à partir de l'année d'imposition (par ex., les éléments concernant la taxe foncière due pour 2012, payée en 2013, doivent être conservés jusqu'à la fin 2013) 3 ans à partir de l'année d'imposition (par ex., les éléments concernant les revenus de 2012, déclarés en 2013, doivent être conservés jusqu'à la fin 2015) 3 ans à partir de l'année d'imposition (par ex., les éléments concernant les revenus de 2012, déclarés en 2013, doivent être conservés jusqu'à la fin 2015) art. L.169 du livre des procédures fiscales art. L.169 du livre des procédures fiscales art. L.173 du livre des procédures fiscales art. L.174 du livre des procédures fiscales art. L.176 du livre des procédures fiscales

171 Attention : les délais sont portés à 10 ans, en cas d'activité occulte : fraude fiscale, travail dissimulé, absence de déclaration, activité illicite... Document social (société commerciale) Type de document Durée de conservation Texte de référence 5 ans à partir de la perte art du de personnalité morale code civil (ou radiation du RCS ) Statuts d'une société, d'un GIE ou d'une association (le cas échéant, pièce modificative de statuts) Compte annuel (bilan, compte de résultat, annexe...) Traité de fusion et autre acte lié au fonctionnement de la société (+ documents de la société absorbée) Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d'assemblées et de conseils d'administration. Feuille de présence et pouvoirs. Rapport du gérant ou du conseil d'administration. Rapport des commissaires aux comptes. Gestion du personnel 10 ans à partir de la clôture de l'exercice art. L du code de commerce 5 ans art du code civil 5 ans à partir de la fin de leur utilisation art du code civil 3 derniers exercices art. L du code de commerce Type de document Bulletin de paie (double papier ou sous forme électronique) Registre unique du personnel Document concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite... Document relatif aux charges sociales et à la taxe sur les salaires Comptabilisation des jours de travail des salariés sous convention de forfait Comptabilisation des horaires des salariés, des heures d'astreinte et de leur compensation Durée de Texte de référence conservation 5 ans art. L du code du travail 5 ans à partir du art. R du code départ du salarié du travail 5 ans art du code civil 3 ans art. L du code de la sécurité sociale et art. L.169 A du livre des procédures fiscales 3 ans art. D du code du travail 1 an art. D du code du travail

172 Observation ou mise en demeure de l'inspection du travail. Vérification et contrôle du CHSCT. Déclaration d'accident du travail auprès de la caisse primaire d'assurance maladie 5 ans art. D du code du travail 8.3 Charte Graphique La charte graphique est un document qui délimitera les axes d élaboration de document. En effet il est important qu une uniformité des documents soit portée, afin d unifier les réponses de et documents de nos collaborateurs. Ce document traitera donc des différentes obligations en termes de couleur et présentation des différents documents qui seront transmis au publique. L ensemble des documents respecteront donc les différents cadrages graphiques suivant : - Le thème clair est l image de la transperce de notre société. Tous documents devront être rédigés en majorité de blanc. La page de garde : - Le logo de la société devra apparaitre - L en-tête de chaque document sera composé du chapeau ouvert suivant - Le pied de page de chaque document sera composé de chapeau de fermeture suivra - L objet de la page de garde utilisera la police Calibri (Corps), taille 28px, non gras, non soulignés. Pour la couleur, le document respectera le RVG :

173 - - Le sous objet de la page de garde sera de police Calibri (Corps), taille 18px, de couleur noir. - La description du document sera de police Calibri (Corps), taille 10, ni gras ni souligné, de couleur noir. - De plus seront présent les noms des rédacteurs, et seront de police Calibri (Corps) taille 14, non gras, non soulignés, de couleur noir. Un exemple de page de garde : Le document :

174 - Les titre de niveau 1 utiliseront la police Adobe Myungjo Std M, taille 20pixels, en gras et surlignés et apparaitront dans le sommaire. - Les titres de niveau 2 utiliseront la police Times New Roman, taille 18 pixels, en gras, non soulignés et apparaitront dans le sommaire. - Les titres de niveau 3 utiliseront la police Times New Roman, taille 14 pixels, en gars, non soulignés ; et apparaitront dans le sommaire. - Les titres de niveau 4 utiliseront la même police que les titres de niveau 3, mais ne rentreront pas dans le sommaire. - Les différentes sous parties utiliseront les thèmes «Diffpart» qui utilise la police Times New Roman, couleur noir, non gras, souligné et en italique. Cette police sera utilisée pour toute sous partie de division hors cahier des charges seront travailler directement par le pilotage technique. - Les interlignes seront concentrées en 1,08px par ligne. - Les images, doivent être sous disposition carrée (libre) afin d être intégré au texte si besoin. - Les images qui ne répondront pas de la disposition carrée, seront centrées. - L en-tête sera composé du logo d Eye-tech, mais également du logo du destinataire, cette démarche vise à renforcer le partenariat entre les différents collaborateurs. - Son pied de page sera constitué de la bande terminale, où seront inscrit l objet du document et les noms des parties humaines constituantes. Exemple de document :

175

176 8.4 Documentations et procédure Procédure Anti-virus Procédure Antivirus Login / mot de passe Ajoutez vos clés de licence pour les services de sécurité achetés : Créer des comptes Administrateur et Rapporteur Installer des services de sécurité pour Ordinateurs Installer les services de sécurité pour machines virtuelles Installer les services de sécurité pour mobiles Affecter des politiques de sécurité Lancer des tâches d'analyse

177 Login / mot de passe HHconfig = P@ss%38 (compte root) = dédié à la config initiale. HHadmin = AwZx@%%2014 = dédié à l administration Ajoutez vos clés de licence pour les services de sécurité achetés : 1. Allez sur la page Licence. 2. Saisissez la clé de licence dans le champ correspondant situé sous l'en-tête de la colonne Clé. 3. Cliquez sur le bouton Ajouter. La clé de licence sera ajoutée à la liste

178 Vous pouvez saisir plusieurs clés de licence pour le même service mais seule la clé saisie en dernier sera active. Créer des comptes Administrateur et Rapporteur A partir du compte root, vous pouvez créer des comptes administrateur et rapporteur destinés à l'accomplissement des tâches de sécurité et d'administration du réseau. Vous devez désigner au moins un administrateur général, possédant tous les privilèges pour le déploiement de GravityZone (sur tous les services et tous les groupes). Pour créer un compte utilisateur: 1. Connectez-vous et accéder à l'interface web du Centre de contrôle en utilisant le compte root

179 2. Allez à la page Comptes. 3. Cliquez sur le bouton Ajouter sur le côté droit du tableau. Une page de configuration s'affiche. 4. Indiquez les données utilisateur dans la section Données

180 5. Sélectionnez le type de compte utilisateur dans la section Paramètres et privilèges > Rôle: Administrateur: Les comptes Administrateur permettent l'accès total à toutes les fonctions d'administration des services de sécurité de GravityZone. Rapporteur: Les comptes Rapporteur ne permettent l'accès qu'aux fonctions de surveillance et de rapports. Les Rapporteurs ne peuvent ni consulter ni modifier la configuration du réseau ou de la sécurité. 6. Fuseau horaire et langue. Sélectionnez le fuseau horaire et la langue souhaités. 7. Sélectionnez dans le tableau du bas les services et les groupes auxquels l'utilisateur pourra avoir accès. Vous avez la possibilité de limiter l'accès à un service de sécurité spécifique de GravityZone ou à des zones spécifiques du réseau

181 8. Cliquez sur Enregistrer pour créer le compte utilisateur. Installer des services de sécurité pour Ordinateurs Installer à distance Endpoint Security sur des ordinateurs: 1. Allez à la page Réseau

182 2. Sélectionnez Ordinateurs dans le menu déroulant. 3. Parcourez l'inventaire du réseau et sélectionnez les ordinateurs sur lesquels vous voulez installer la protection

183 4. Cliquez sur le bouton Tâche sur le côté droit du tableau et choisissez Installer le client. Vous pouvez aussi allez sur Réseau > Packages pour télécharger un package d'installation et le lancer manuellement pour installer Endpoint Security sur les ordinateurs ciblés. Installer les services de sécurité pour machines virtuelles

184 1. Allez à la page Réseau. 2. Sélectionnez Machines virtuelles à partir du menu déroulant

185 3. Parcourez l'inventaire disponible de l'environnement virtuel et sélectionnez les machines virtuelles sur lesquelles vous souhaitez installer la protection. 4. Cliquez sur le bouton Tâche sur le côté droit du tableau et choisissez Installer le client pour installer à distance Endpoint Security sur les machines virtuelles sélectionnées

186 Installer les services de sécurité pour mobiles Ajouter des appareils mobiles aux utilisateurs: 1. Allez à la page Réseau 2.Choisissez Appareils mobiles dans le menu déroulant

187 2. Parcourez l'inventaire du réseau et sélectionnez l'utilisateur auquel vous voulez associer un appareil mobile. 3. Cliquez sur Ajouter un appareil sur le côté droit du tableau pour créer un appareil mobile

188 5.Entrez les caractéristiques du mobile (nom, type de propriété) dans la fenêtre Ajouter un appareil et cliquez sur OK. Téléchargez et installez (ou demander à l'utilisateur d'installer) l'application Client mobile de GravityZone sur l'appareil à partir de la boutique officielle et activez-la conformément aux procédures

189 Affecter des politiques de sécurité Affecter des politiques de sécurité à des objets ou groupes d'objets gérés sur le réseau: 1.Allez à la page Réseau. 2. Choisissez à partir du menu déroulant la catégorie d'objets réseau que vous souhaitez administrer

190 4. Parcourez l'inventaire réseau et sélectionnez les objets auxquels vous souhaitez affecter une politique. 5. Cliquez sur le bouton Politique sur le côté droit du tableau

191 6. Dans la fenêtre Affectation d'une politique, allez à l'onglet Options et choisissez entre l'adoption de la politique du groupe parent ou l'affectation d'une autre politique de votre choix. Lancer des tâches d'analyse Lancer des tâches d'analyse sur des objets ou groupes d'objets du réseau administré: 1. Allez à la page Réseau

192 2. Sélectionnez Ordinateurs dans le menu déroulant. 3. Parcourez l'inventaire réseau et sélectionnez les ordinateurs que vous souhaitez analyser

193 4. Cliquez sur le bouton Tâche sur le côté droit du tableau et choisissez Analyser. 5. Configurez les options d'analyse en fonctions de vos besoins. 6. Cliquez sur Enregistrer pour créer la tâche d'analyse. Vous pouvez vérifier les détails de la tâche d'analyse sur la page Réseau > Tâches

194 Initiation à Windows Seven Procédure utilisation de Seven Windows seven ressemble à Windows XP mais est plus pratique du fait que l on peut gérer plusieurs programmes ou fenêtres en même temps et les placer comme bon nous semble sur l écran. Ce qui était tout à fait impossible sous Windows XP. Le mode s en rapprochant était le triage en cascade, mais donnait un rendu plutôt peu pratique à organiser et de toute manière, nous ne pouvions pas redimensionner les fenêtres comme bon nous semblait. Ici l interface est plus claire et il ne sera pas nécessaire de connaitre l environnement pour s y habituer assez vite. Une des nouveautés de Seven par rapport à XP (et non vista) est la fonction Windows Aero qui permet, par l intermédiaire de différents raccourcis, d avoir une gestion des fenêtres et des applications en cours simplifiée pour L utilisateur mais légèrement plus gourmande en ressources vidéo. Ceci dit au jour d aujourd hui n importe quelle carte vidéo gère très bien les effets aero, ce qui n était pas le cas des PC sortis à l époque sous vista

195 Présentation de l interface 1 Menu démarrer C est par ici que vous pourrez accéder à toutes vos applications, réglages et programmes. Il suffit de cliquer une fois dessus pour le voir apparaitre comme sur l image ci-dessus. 2 utilisateurs connectés Une fois sur le menu démarrer, vous remarquez que votre nom apparait avec une image contenue dans la bibliothèque Windows. En cliquant dessus vous pourrez régler les options en rapport avec votre session Windows tel que l image utilisée, changer de nom, de mot de passe ou encore le niveau de contrôle utilisateur

196 3 Documents En cliquant dessus, vous ouvrirez le programme de gestion des documents appelé explorer.exe. Ce programme va vous permettre de visualiser l arborescence de votre Windows et y naviguer librement. Des dossiers pré définis sont créées par défaut tel que document, musique ou encore vidéo. 4 Panneau de configuration C est ici que se font tous les réglages relatifs à votre ordinateur. Vous pourrez régler la sensibilité de la souris ou configurer les cartes réseaux, vos langues favorites ou encore le type de clavier utilisé. 5 Centre de maintenance C est le petit drapeau en bas à droite de votre écran. Il vous signalera tous les problèmes qui surviennent sur votre machine telle qu un antivirus périmé une erreur sur un programme qui a entrainé un plantage. Il ne manquera pas également de vous rappeler de faire une sauvegarde de donnée régulièrement. Les alertes, parfois assez intrusives, peuvent être désactivées. 6 cartes réseaux L icône de l écran de pc, juste à côté du centre de maintenance est là pour donner un indicatif du statut de la carte réseau. Si une croix rouge apparait c est qu il n y a pas de connexion entre l ordinateur et le réseau. Si un triangle jaune se positionne, il est fort probable qu il y a un souci au niveau de la configuration IP ou simplement que le réseau est limité. Enfin, lorsque tout est branché et fonctionnel, l écran apparait simplement

197 Informations générales du système 7 Mises à jour Windows intègre un logiciel qui gère la mise à jour disponible, Windows Update. Dès l installation il demandera si il doit télécharger uniquement les mises à jour importantes, les installer ou simplement demander votre avis avant chaque action.les mises à jour fréquentes peuvent être ennuyeuses pour l utilisateur mais sont indispensables au bon fonctionnement et la protection de n importe quel ordinateur étant connecté au réseau internet. 8 Gestion de périphériques Ici vous pourrez gérer et mettre à jour les pilotes d absolument tous les composants de l ordinateur. Allant de la carte réseau aux pilotes SATA en passant par ceux de la carte mère. Utile également pour savoir si un périphérique est correctement installé ou répond correctement

198 9 Version de l OS C est la version du système d exploitation qui est en place sur votre machine. Ici nous avons une version professionnelle de Windows avec le SP1 (Service Pack 1). Ce pack est un ensemble de mises à jour contenues dans une seule. A l heure actuelle un seul service pack est disponible pour Windows Seven, mais une centaine d autre mises à jours sont à faire après, un second service pack devrait donc ne pas trop tarder à sortir. 10 Indice de performance Vous pouvez lancer un test des composants en cliquant dessus. L ordinateur va effectuer plusieurs calculs pour déterminer sur une échelle de 1 à 7.9 les performances de vos composants et en résulte une note globale. Toutefois cet indice n est pas fiable car il ne prend pas en compte assez de paramètres pour pouvoir servir de référence, mais il donne une idée globale de comment sera géré l OS sur la machine. 11 Nom de la machine C est tout simplement le nom que porte votre machine. Sur votre réseau local, vous pouvez y accéder à partir d une autre machine en tapant \\RDITS-TEST dans la barre supérieure de l explorer.cela fonctionne même si vous avez une version différente de l OS (Server, XP, vista etc...) Ici nous accédons à la machine en Seven à partir d une autre en Windows 8. Lorsqu une entreprise crée son réseau, elle se crée également un nom de domaine. Ce nom sera rajouté à toutes les machines du parc informatique après leur nom dit NetBIOS. Cela permet entre autre de contacter une machine du domaine alors que l on n y est pas. Une machine de l entreprise Steinlen par exemple pourrait se joindre de l extérieur par ce nom workstation01_direction.steinlen.com

199 8.4.3 Procédure de support téléphonique Ce document est une procédure de maintenance de l entreprise EYE-TECH pour Hom@Home. Cette procédure vous guidera dans les différentes étapes de maintenance que nous vous proposons. Il intervient sur : - Problème d utilisation de logiciel (sauf cas particulier où nous indiquerons de contacter l éditeur). - Problème de lenteur/bug. - Question relative aux outils utilisés. - Données, perte, restauration, sécurité, audit. - Mise à jour, installations de nouveaux outils. - Manipulation particulière d accès aux différentes ressources du parc. Si vous rencontrez un problème pouvant être référencé dans la liste ci-dessous et que vous n obtenez pas de réponse au travers de votre informaticien. Merci de suivre cette procédure : 1) Veuillez préparer : Nom d utilisateur, sauvegarder vos documents, être disponible pour la maintenance à distant. 2) Ouvrir un ticket sur la plateforme que vous trouverez dans vos favoris internet (Mozilla Firefox) 3) Contactez notre support Blue-Team au ) Vous serez mis en relation, avec un technicien qui vous demandera les informations précédentes. 5) Expliquer clairement votre problème, et répondre aux questions de ciblage du technicien. 6) Noter les différentes informations données. 7) Si le problème est résolu, le technicien fermera votre ticket. Si aucun technicien n est disponible, votre demande sera prise en compte dans un délai maximum de 48h et sera traité dans un délai équivalent. 8) Merci de notifier la qualité de l intervention sur votre ticket, ouvert ou fermé

200 Procédure Hyper-V Procédure d utilisation d Hyper-V Création d une Machine Virtuelle Clic droit sur le Nom de la machine hôte => Nouveau => Ordinateur virtuel. Dans un premier temps choisissez : Le nom que vous souhaitez attribuer à la machine virtuelle, celui-ci vous permettra de les différencier et apparaitra dans le panneau central (onglet 3 ci-dessus) L endroit où vous souhaitez stocker la machine virtuelle

201 Vous devrez ensuite sélectionner les ressources à utiliser par la machine virtuelle. Dans le premier screen, vous devez préciser la quantité de mémoire à attribuer. Vous devez adapter celle-ci à l utilisation que vous allez faire de votre machine virtuelle. Note : Dynamic Memory est une technologie capable d adapter la mémoire allouée en fonction de la charge utilisée par la machine, vous devrez alors choisir la quantité minimale et maximale de RAM que la machine peut utiliser. Plus d informations sur :

202 Choisissez ensuite sur quelle carte réseau la machine virtuelle sera connectée, une liste déroulante permet d afficher les cartes réseaux disponibles

203 Lorsque vous créez la machine virtuelle vous avez le choix entre plusieurs options lors de la spécification du disque dur : La création d un nouveau disque (choix que nous allons sélectionner et qui nous amènera à l étape suivante) L utilisation d un disque déjà existant (vous devrez spécifier son emplacement) Passer cette étape pour y revenir plus tard (Etape qui pourra être faite dans les options de la machine) Nous allons (dans cet exemple) choisir de créer un nouveau disque virtuel, d une taille de 127GB (cette taille indique la taille maximum qu il pourra occuper sur notre disque, cette option est modifiable après la création de la machine virtuelle). Il faut garder en mémoire que les 127GB représentent la taille maximum, si seulement 5GB sont utilisés, votre disque virtuel prendra 5GB sur votre disque dur

204 L installation du système d exploitation. Vous avez différentes options pour l installer, à partir d un DC/DVD ou d une image ISO, à partir d une disquette de démarrage ou à partir du réseau (par exemple, si vous disposez d un serveur PXE)

205 Avant de procéder à l installation, veuillez vérifier les différents paramètres remplis (Nom, mémoire allouée, carte réseau utilisée, emplacement du disque dur et le lieu à partir duquel le système d exploitation sera installé). Une fois la machine crée, celle-ci apparaîtra dans la console centrale :

206 Les Snapshots : Pour faire un Snapshot, rien de bien compliqué, il suffit de sélectionner notre machine virtuelle (il faut qu elle soit dans l état démarré ou arrêté pour effectuer un snapshot, ça ne marche pas en pause ). Une fois le snapshot effectué, nous avons sa trace dans l onglet Snapshots : Le Now correspond à notre état actuel, qui est linké à notre backup de 01:23:28. En cliquant sur un de nos snapshots, nous avons plusieurs options qui apparaissent dans le menu de droite:

207 Nous pouvons Apply le snapshot, c est à dire revenir à l état du snapshot, le Now sera alors linké au Snapshot sélectionné, l exporter, pour faire une sauvegarde de cet état, le renommer, le supprimer ou supprimer tous les snapshots en dessous de celui sélectionné, par exemple, si on regarde les snapshots plus haut, nous avons sélectionné celui de 01:23:16, et cliqué sur Delete Snapshot Subtree, voici le résultat : Tous ceux qu on avait fait après ont été supprimé

208 Connexion courante, avec Outlook : Procédure de connexion mail Les différents utilisateurs utiliseront le logiciel de Microsoft, Outlook. Il s agit d un client mail, qui permettra de récupérer les données gérées par notre serveur. Outlook dispose d une excellente interface, conviviale, et simple à utiliser. De plus de nombreux cours, tutos, et une grande communauté permettent de résoudre des problèmes, ou de trouver des utilités diverses et variés. Par défaut la messagerie est configurée pour tous les collaborateurs de l entreprise. Il n aura, en interne qu à cliquer sur l icône Outlook qui sera présent sur leur bureau. Une fois ouvert, l interface d utilisation ressemblera à ceci :

209 L interface de gestion se décompose en différentes sections : La section 1 : Concerne les dossiers et différents boites mail ouvertes, on navigue entre elles pour avoir accès aux différents ressources et calendriers. La section 2 : Correspond aux différents outils de gestion d Outlook. La section 3 : Correspond aux différents mails contenus par les boites dans lesquels nous nous trouvons. La section 4 : Correspond aux contenus des différents mails ouverts. La section 5 : Permet la navigation entre les mails, le calendrier, les notes, et les tâches. Depuis le menu, nous pouvons donc nous rendre sur notre calendrier afin d observer ce que nous avons planifié :

210 Connexion depuis l extérieur via VPN : La connexion via notre serveur VPN sera bien entendue mise en place, et les clients qui s y connecterons devrons suivre la manipulation suivante. Pour les clients qui souhaitent utiliser leur ordinateur personnel, nous devons mettre en place des utilitaires de connexion sur leur poste. S ils utilisent un ordinateur portable de la société à l extérieur, ces utilitaires seront par défaut mis en place sur les postes. Sur le bureau, vous trouverez un icone nommé : Vous n avez qu à double cliquer dessus afin de vous retrouver connecté au réseau interne de H&H. Ainsi, votre connexion sera considérée comme interne à l entreprise, et vous pourrez suivre la connexion classique à Outlook

211 Connexion le Webmail de l entreprise : En cas de panne, ou d indisponibilité d Outlook, ou bien si vous êtes à l extérieur mais que vous ne souhaitez pas vous connecter en VPN, vous pouvez accéder au Webmail de l entreprise. Il s agit d une page web, disponible, en tous temps tous lieux, qui vous permettra d afficher vos mails, vos calendrier, et vos contacts, au travers de votre navigateur web. Cette interface est disponible depuis l adresse : La connexion à cette page Webmail, est sécurisée par un certificat SSL ; garantissant ainsi la confidentialité des données que vous pourrez lire ou transmettre. Des formations sur l intégralité de la suite Office sont disponibles :

212 Procédure SCVMM Procédure de gestion SCVMM Ici on vous présente la méthode standard pour créer un modèle de déploiement dans SCVMM. Ce modèle peut servir à déployer des nouveaux serveurs ou à déployer des bureaux virtuels dans le cadre du Virtual Desktop Infrastructure. Partie configuration du modèle virtuel Ouvrir la console d administration de SCVMM 2012 et se positionner dans la Library (cliquer sur la zone en rouge dans la capture ci-dessous) Dans le ruban, onglet Home, cliquer sur Create VM Template

213

214 Ici 2 options : - Soit sélectionner un modèle de VM existant ou le fichier.vhd dans la Library (d une machine préalablement sysprepée) - Soit partir d une machine virtuelle qui est sur un hôte de virtualisation. Important : cette machine doit être arrêtée. Note : si vous partez d une machine virtuelle, elle sera sysprepée. Le message suivant vous sera alors préalablement affiché. Dans cet exemple nous utiliserons un.vhd dans la Library

215 Donner un nom au modèle et une description claire (utile si vous avez de nombreux modèles)

216 Puis c est l étape de la configuration matérielle de ce modèle de VM

217 System Center Virtual Machine Manager 2012 permet la création de Clouds. Dans un template, il est possible de définir pour quelle(s) plateforme(s) de virtualisation le modèle est prévu (Hyper-V, VMware ESX Server, Citrix XenServer) Choisir ensuite les paramètres matériels du modèle de VM

218 Si les hôtes de virtualisation sont des serveurs Windows Server 2008 R2 SP1 et supérieurs et l OS de la machine virtuelle un Windows Server 2008 R2 SP1 ou supérieur, il est possible d utiliser Dynamic Memory pour optimiser l usage de la mémoire vive de l hôte de virtualisation Définir la carte réseau virtuelle attribuée

219 Si vous disposez de clusters de serveurs de virtualisation, il est possible de définir le modèle comme un modèle de VM à haute disponibilité

220 Partie configuration du système d exploitation dans la VM Par défaut, le nom qui sera donné à une machine virtuelle créée via le modèle est aléatoire Il est possible de définir sa propre nomenclature. Ici mes machines s appelleront WIN2K8R2FR01, WIN2K8R2FR02 Le symbole # représente un chifre de 0 à 9 qui va s incrémenter au fur et à mesure des déploiements

221 Il est possible de définir le mot de passe par défaut du compte administrator

222 Le plus simple est de créer des comptes dans la Library et de les réutiliser (ici Admin local)

223 Le modèle de SCVMM 2012 permet de donner comme paramètres la clé produit de l OS Si la machine à déployer à partir du modèle fait partie d un domaine, il est possible de l intégrer automatiquement dès sa création à partir du modèle de VM

224 Là encore, on utilise un compte administrateur de domaine prêt à l emploi dans la Library Important : pour l intégration automatique dans un domaine Active Directory, il faut que la VM dispose du paramétrage IP minimum (adresse IP + masque + adresse d un DNS pouvant résoudre le nom de domaine de l AD) attribué généralement via DHCP

225 Nouveauté dans SCVMM 2012 : la possibilité d ajouter des applications (Web, SQL, App-V)

226 Il reste à cliquer sur Create pour finaliser la création du modèle de VM. Il est également possible de voir le script généré par cet assistant

227 Le modèle est désormais prêt à l emploi!

228 8.4.7 Procédure de déploiement image Déploiement d images Présentation Lorsque nous avons voulu obtenir le devis pour les clients légers, nous avons spécifié au fournisseur le besoin qu ils soient livrés avec le bios paramétré pour démarrer sur le réseau (boot PXE). Une fois livrés, ces clients légers vont être placés et connectés au réseau. Nous enverrons ensuite un «packet magic» afin de réveiller l ordinateur (Wake On Lan). Une fois démarré il va essayer de contacter le réseau. Le serveur DHCP lui attribuera donc une adresse IP et lui fournira celle du serveur de déploiement. Le serveur de déploiement a été mis en place au préalable et les images de déploiements sont également prêtes. Voici les points clés de ce déploiement. Nous avons pris un client léger afin d effectuer le master de déploiement. Etape 1 : Préparation de l image Le master sera le système à partir duquel nous allons créer l'image à déployer. L'installation est une installation classique que nous allons ensuite personnaliser en fonction du besoin. Installation de windows 7 embedded en mode client léger Personnalisation du master Désinstallation programmes inutiles Personnalisation du bureau Supression de raccourcis inutiles Raccourci «connexion bureau à distance» sur bureau et barres de tâches Mises à jour du système et des applications Personnalisation avancée Nous procèderons à une personnalisation avancée en éditant les stratégies de groupe (GPO) sur le serveur Active Directory. Nous appliquerons de tels paramètres afin qu aucune donnée soient stockée en local et que tous les clients légers soient identiques. Ainsi lors de la panne d un de ces clients légers Mr. Vanga n aura qu à procéder au remplacement de ce dernier sans se préoccuper des différentes applications et données stockées en local

229 Ces GPO une fois appliquées, nous pouvons les retrouver sur l ordinateur en local. Voici les détails : Empêcher l utilisation de l invite de commande MS-DOS pour l utilisateur : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Système > désactiver l accès à l invite de commandes. Empêcher la modification du registre pour l utilisateur : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Système > Empêcher l accès aux outils de modification du registre. Choisir exclusivement les programmes qui peuvent être lancés : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Système > Exécuter seulement les applications Windows autorisées. > mstsc.exe Activer la demande de mot de passe en sortie de veille : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Système > gestion de l alimentation > Demande le mot de passe lors de la mise en veille prolongée. Bloquer l ajout de nouveaux programmes et la suppression des anciens : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Panneau d administration > Ajouter ou supprimer des programmes > voir la liste. Empêcher les modifications de l affichage : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Panneau d administration > Affichage > voir la liste. Empêcher les modifications des imprimantes : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Panneau d administration > imprimante > voir la liste. Empêcher les modifications de Menu démarrer et barre de tâches: Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Panneau d administration > Menu démarrer et barre de tâches > voir la liste. Empêcher les modifications des composants Windows : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Composants windows > voir listes et sous listes. Lancement de «Connexion bureau à distance» au démarrage : Accès aux modèles d administration : (exécuter > gpedit.msc) Utilisateur > Modèle d administration > Système > Ouverture de session > Exécuter ces programmes à l ouverture de session > mstsc.exe

230 Compte utilisateur en lecture seule sur client léger : Ces paramètres ne sont visibles que dans les paramètres GPO, sur le poste nous ne verrons que la modification qu au niveau des droits NTFS. Dans Configuration de l'ordinateur. Paramètres Windows Paramètres de sécurité Système de fichiers Ajouter %USERPROFILE% et mettre les droits appropriés : Refus de modification et écriture pour les utilisateurs du domaine Etape 2 : Capture du Master Sysprep Une fois le master préparé nous effectuons un «sysprep du master». L'outil sysprep va nous permettre de régénérer les identifiants de sécurités (SID) et de retirer la configuration matérielle pour permettre la capture sous forme d'image WIM

231 Les images WIM (Windows Imaging format) sont orientées ''fichier'' contrairement aux images de types iso, img... qui sont orienté ''secteur''. Cela a pour conséquence des images indépendantes du matériel. Il y a deux types d'images utilisées pour le déploiement Windows au format WIM : Les images d'installations qui contiennent le système d'exploitation que l'on souhaite installer. Les images de démarrage qui contiennent un environnement de pré-installation (Windows PE). Ces images peuvent-être utiles pour installer un OS via le réseau sur un ordinateur qui n'est pas compatible PXE (image de découverte ) ou bien capturer le système installé pour créer une image de celui-ci. Environnement de capture Nous ajoutons un environnement winpe dans notre serveur de déploiement (wds) afin de procéder à la capture du master. Nous créons le groupe d image que nous nommerons Win7embedded_01. Nous démarrons notre client léger sur le réseau :

232 On choisit de directement ''uploader'' notre image créée vers le serveur WDS : On voit que l'image a bien été ajoutée sur le WDS après la capture :

233 Etape 3 : Déploiement On passe maintenant au déploiement de notre image. Pour cela on configure notre WDS : On sélectionne l'option répondre aux PC clients connu et inconnu si l'on déploie sur des PC n'ayant pas de compte d'ordinateur dans l'active directory. On sélectionne l'image par défaut à utiliser :

234 Démarrage des clients légers sur le réseau : L'installation se poursuit comme n'importe quelle installation avec la personnalisation grâce à Windows setup. Il est possible d'automatiser celui si grâce à l'utilisation d'un fichier de réponse. Pour pouvoir créer ce fichier il faut utiliser l'outil Windows System Image Manager (Windows SIM) contenue dans le kit d'installation automatisé de Windows (WAIK).Voici le fichier unnanted.xml utilisé pour automatiser les installations :